Grupo ligado ao Carbanak permanece em atividade e atinge mais de 130 empresas

Após a prisão, em 2018, de vários suspeitos de liderar os famosos grupos Fin7/Carbanak, acreditava-se que eles tinham acabado. Porém, os pesquisadores da Kaspersky Lab descobriram novos ataques realizados por eles utilizando o malware GRIFFON. Segundo os especialistas, o Fin7 deve ter ampliado o número de grupos que operam sob seu domínio, ele também aprimorou a sofisticação de seus métodos e até conseguiu criar uma empresa de segurança de fachada legítima para recrutar profissionais e induzi-los a participar do roubo de recursos financeiros.

Acredita-se que o Fin7 esteja por trás de ataques que visam os setores de varejo, restaurantes e hospitalidade dos EUA desde meados de 2015, trabalhando em forte colaboração e compartilhando ferramentas e métodos com o implacável grupo Carbanak. Enquanto o Carbanak focou principalmente em bancos, o Fin7 visou predominantemente empresas, possivelmente roubando milhões de dólares em credenciais de cartões de pagamento ou informações de contas retirados dos departamentos financeiros. Quando os criminosos conseguem concluir o roubo, eles transferem o dinheiro para contas no exterior.

De acordo com a nova investigação da Kaspersky Lab, apesar da prisão no ano passado de seus supostos líderes, o grupo deu continuidade às suas atividades, implementando campanhas sofisticadas de spear-phishing durante todo o ano de 2018 e distribuindo malware para cada alvo por meio de e-mails especialmente elaborados. Nos vários casos, os operadores trocaram mensagens durante semanas com as potenciais vítimas antes de finalmente enviar os documentos maliciosos como anexos. A Kaspersky Lab estima que, até o final de 2018, mais de 130 empresas podem ter sido atingidas desta maneira, inclusive na América Latina, onde a empresa confirmou que detectou e bloqueou atividades em toda a região.

Os pesquisadores também descobriram outras equipes especializadas em ataques sofisticados trabalhando sob a coordenação do Fin7. O uso da infraestrutura compartilhada e das mesmas técnicas e procedimentos (TTPs) mostra que o Fin7 provavelmente está colaborando com a botnet AveMaria e os grupos conhecidos como CobaltGoblin/EmpireMonkey, que acredita-se ser responsável por roubos de bancos na Europa e na América Central.

A Kaspersky Lab também descobriu que o Fin7 criou uma empresa falsa que se apresenta como um fornecedor legítimo de cibersegurança, com escritórios em toda a Rússia. O site da empresa está registrado no servidor que o Fin7 usa como centro de comando e controle (C&C). A empresa fraudulenta foi usada para recrutar pesquisadores de vulnerabilidades, desenvolvedores de programas e intérpretes autônomos inocentes por meio de sites legítimos de empregos. Parece que algumas das pessoas que trabalham nessa falsa empresa não suspeitavam que estavam envolvidas em crimes cibernéticos e muitas incluíram a experiência de trabalho nessas organizações em seus currículos.

“As ciberameaças modernas podem ser comparadas com a criatura mitológica Hidra de Lerna; quando é cortada uma de suas cabeças, nascem duas novas. Portanto, a melhor maneira de se proteger é adotando práticas e soluções avançada em diversos níveis da organização: desde o estabelecimento de políticas de atualização automática de correções nos software até a realização de análises de segurança regulares em todas as redes, sistemas e dispositivos”, afirma Yury Namestnikov, pesquisador de segurança da Kaspersky Lab.

Para reduzir o risco de ser vítima desses grupos, a Kaspersky Lab recomenda:

• Utilize soluções de segurança com funcionalidades exclusivas de detecção e bloqueio de phishing. As empresas podem proteger seus servidores com as ferramentas se segurança oferecidas no Kaspersky Endpoint Security for Business. Além disso, há soluções como o Kaspersky Security for Microsoft Office 365 que protege serviço de e-mail baseado na nuvem Exchange Online, fornecido no pacote do Microsoft Office 365.
• Faça treinamentos de conscientização em segurança para ensinar seus funcionários as melhores práticas de segurança da informação. Programas como a Kaspersky Automated Security Awareness Platform ajudam a reforçar essas habilidades, pois realizam simulações de ataques de phishing;
• Dê acesso aos relatórios mais recentes de Threat Intelligence para suas equipes de segurança para que eles possam acompanhar as táticas e ferramentas mais recentes utilizadas pelos cibercriminosos.

Para mais detalhes sobre a investigação, acesse o relatório completo em Securelist.com.

Sobre a Kaspersky Lab

A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 21 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.

Copyright © 2014 JeffreyGroup Brasil, All rights reserved.