Mealybug: ameaça bancária está atacando outros segmentos

Grupo evoluiu de um agente de ameaças isoladas para um distribuidor global, recolhendo lucros de outros grupos cibercriminosos; malware Emotet era usado para espalhar trojans que roubavam credenciais bancárias quando foi descoberto em 2014

Compartilhar:

O time de pesquisa de ameaças avançadas da Symantec descobriu que as atividades do grupo Mealybug evoluíram da manutenção e entrega de seu próprio cavalo de troia bancário personalizado para a operação como distribuidor de ameaças a outros grupos que agem de forma similar para roubar informações de organizações. Quando o grupo foi identificado pela primeira vez, em 2014, utilizava um malware personalizado chamado Emotet para espalhar cavalos de troia que roubavam credenciais bancárias online de usuários de computadores na Europa. A telemetria nova da Symantec agora revela que o Emotet está concentrado em alvos nos EUA e também está sendo usado para espalhar o Qakbot, uma família separada de cavalos de troia bancários. Tanto o Emotet quanto o Qakbot têm recursos de autopropagação, o que permite que as ameaças se espalhem de forma agressiva quando se infiltram em uma rede.

 

“Acreditamos que o Mealybug deixou de ser um agente de ameaças isoladas e virou um distribuidor global. Isso segue uma tendência que identificamos no nosso relatório de segurança (ISTR) deste ano, que os grupos de ameaças estão refinando suas técnicas e modelos de negócios para maximizar os lucros”, afirma Jon DiMaggio, analista sênior de Inteligência sobre Ameaças da Symantec. “De acordo com nossa análise, parece que o Mealybug está dando suporte a vários grupos de ataque ao mesmo tempo e ganhando dinheiro ao receber parte dos lucros resultantes.”

 

A Symantec acredita que o Emotet e o Qakbot são controlados por dois grupos separados, e que o Mealybug está oferecendo o Emotet como mecanismo de entrega do Qakbot, além de outras ameaças. A análise da Symantec não detectou nenhuma sobreposição nas infraestruturas de comando e controle dos dois cavalos de troia, e também encontrou diferenças no código de seus componentes principais e em suas técnicas de antidebug.

 

As atividades do Mealybug representam alguns desafios para as empresas: suas capacidades parecidas com a de um worm permitem que as ameaças se espalhem rapidamente entre redes, e a quebra de senhas pode deixar as vítimas sem acesso a suas máquinas, prejudicando a produtividade dos usuários e aumentando a demanda das equipes de helpdesk e TI. Worms de rede como o Emotet e o Qakbot recuperaram notoriedade nos últimos anos, com outros exemplos notáveis incluindo o WannaCry e Petya/NotPetya. Esses ataques são particularmente desafiadores, pois as vítimas podem se infectar sem sequer clicar num link perigoso ou fazer o download de um anexo infectado.

 

Para ajudar na proteção contra ameaças como Emotet e Qakbot, recomenda-se que as organizações implementem soluções de segurança de endpoints, e-mail e gateway de web e as mantenham atualizadas com a proteção mais recente, para que as ameaças sejam detectadas o mais rápido possível. A Symantec também recomenda a utilização da autenticação de dois fatores nas contas para oferecer uma camada adicional de segurança e impedir que qualquer senha roubada ou quebrada seja usada pelos invasores.

 

Conteúdos Relacionados

Security Report | Overview

Cibersegurança nas PMEs: Controle de senhas é primeiro desafio a se enfrentar

Na visão de especialista em direito digital, aplicar melhores práticas de governança é um dos grandes trunfos na Segurança Cibernética...
Security Report | Overview

Novo programa de serviços gerenciados alcança mercado brasileiro e latino-americano

Provedores de MSP podem oferecer solução ZTNA da Appgate para elevar a segurança do cliente e reduzir a complexidade operacional...
Security Report | Overview

Hackers usam identidades falsas para aplicar golpes em universidades e ativistas

ISH Tecnologia detalha que cibercriminosos invadem redes e plataformas de nuvem por meio de técnicas sofisticadas de engenharia social ...
Security Report | Overview

Treinamento cibernético precisa ser chato?

O rápido crescimento do mercado de Cibersegurança é uma consequência do cenário crítico em que o espaço digital está inserido,...