Pelo menos 16 empresas russas foram atacadas no ano passado

O Centro de Segurança Especializado da Positive Technologies (PT ESC) registrou uma nova onda de ataques do grupo de hackers Space Pirates¹. Os criminosos conhecidos pelas suas atividades em grande escala desenvolveram novas ferramentas e aumentaram as suas tentativas de ataques ao setor público russo, às indústrias de aviação e aeroespacial e as instituições educacionais.

De acordo com o PT ESC, os ataques do Space Pirates em pelo menos 16 empresas na Rússia em 2022 foram bem-sucedidas. Os principais objetivos dos criminosos são espionagem e roubo de informação confidencial. No entanto, o grupo alargou o seu escopo de interesse para incluir outros alvos. Entre as novas vítimas, os especialistas destacam instituições públicas, educacionais, empresas de segurança, aviação, dos setores aeroespacial, agrícola e militar, empresas de combustíveis e energia, bem como empresas de segurança da informação. Um ministério da Sérvia também sofreu um ataque do Space Pirates.

Denis Kuvshinov, Chefe de Análise de Ameaças, Centro de Segurança Especializado da Positive Technologies, comentou: “Ao longo do ano passado, muitas vezes acompanhamos a atividade do Space Pirates enqunto estávamos realizando as durante nossas investigações de ataques cibernéticos. As táticas do grupo não mudaram muito, mas os hackers desenvolveram ferramentas novas que utilizam técnicas não comuns (como Voidoor) e melhoraram as ferramentas antigas. Encontramos o scanner Acunetix em um dos servidores C2 do Space Pirates : isso sugere um provável vetor de ataque por meio da exploração de vulnerabilidades que não tínhamos encontrado antes. Para proteger sua empresa das ameaças que Space Pirates, apresenta recomendamos tomar medidas proativas: usar analisadores de tráfego e sandboxes para identificar até mesmo um malware complexo”.

Pela primeira vez, a Positive Technologies registrou a atividade do Space Pirates no final de 2019, quando uma empresa aeroespacial russa recebeu um e-mail de phishing contendo um malware anteriormente desconhecido. Nos dois anos seguintes, nossos especialistas identificaram mais quatro empresas comprometidas (duas delas estatais) que tornaram-se alvo dos criminosos. O PT ESC continua a monitorar e combater as ameaças, incluindo as do grupo Space Pirates.

Produtos da Positive Technologies, tais como o sistema de análise comportamental de tráfego PT Network Attack Discovery (PT NAD) e o PT Sandbox, podem detectar as atividades maliciosas do Space Pirates, com isso prevenindo os ataques e identificando os hosts infectados na rede. Versões atualizadas dessas ferramentas já contêm a base de conhecimento necessária. Por exemplo, o PT Sandbox detecta malwares usados pelo Space Pirates e identifica conjuntos de ferramentas de hackers adicionais registrados durante as investigações. Além disso, o PT Sandbox detecta malwares usando uma combinação da análise comportamental da rede do PT ESC, das regras YARA e algoritmos de aprendizado de máquina.

O PT NAD usa as listas de reputação com os nomes de domínio e endereços IP pertencentes a criminosos cibernéticos ao realizar análise. As regras exclusivas de detecção de ameaças ajudam a detectar a atividade de backdoors na rede e malwares em dispositivos infectados na rede protegida.

1. Como apontam os indícios, o desenvolvedor das ferramentas é de origem chinesa. Até o momento não é conhecido por nós se o desenvolvedor é membro do grupo ou não. No entanto, o grupo utiliza as técnicas típicas para os grupos chineses (APT41, por exemplo): hospedagem de servidores em Choopa e também uso os arquivos específicos para sequestro de dll.