No fim de 2020, pesquisadores do Kaspersky identificaram dois incidentes de segurança realizados por um grupo especializado de cibercriminosos visando entidades ligadas no combate à Covid-19. Um dos alvos era um ministério de saúde e o outro, uma empresa farmacêutica. Os especialistas da empresa acreditam que as atividades podem ser atribuídas ao grupo Lazarus.
À medida que a pandemia segue pelo mundo, muitos esforços estão sendo feitos para acelerar o desenvolvimento da vacina. Ao mesmo tempo, criminosos tentam se aproveitar do momento de urgência para atacar entidades que estão à frente dessas pesquisas. Nossos especialistas, em seu acompanhamento contínuo de campanhas do grupo Lazarus contra vários setores, descobriram que está por trás de alguns incidentes recentes relacionados à Covid-19.
O primeiro incidente identificado foi contra uma agência governamental de saúde. Em 27 de outubro passado, dois servidores Windows dessa organização foram comprometidos com um malware sofisticado, antigo conhecido da Kaspersky e denominado ‘wAgent’. Uma análise mais detalhada mostrou que o programa malicioso usado contra essa entidade tem o mesmo esquema de infecção que o grupo Lazarus usava em ataques a empresas de criptomoeda.
O segundo incidente envolveu uma empresa farmacêutica. De acordo com nossa telemetria, a empresa sofreu uma violação de dados no último 25 de setembro. A empresa está desenvolvendo uma vacina contra a Covid-19 e também está licenciada para produzi-la e distribuí-la. Desta vez, o invasor implantou o malware Bookcode, cuja conexão com o Lazarus já fora reportado em um recente ataque à cadeia de suprimentos executado por meio de uma empresa de software sul-coreana. Outros métodos de distribuição do Bookcode testemunhados por nossos pesquisadores incluem campanhas de spear-phishing e comprometimento de sites específicos.
Tanto o malware wAgent quanto o Bookcode contam com funcionalidades semelhantes, como backdoors completos. Após concluir a infecção, o grupo por trás do ataque pode controlar a máquina da vítima.
Relação do Lazarus com os recentes incidentes
Dadas as semelhanças, nossos pesquisadores afirmam que ambos os incidentes estão relacionados ao grupo Lazarus. A investigação ainda está em andamento.
“Esses dois incidentes revelam o interesse do grupo Lazarus no conhecimento gerado pelas pesquisas sobre a Covid-19. Embora este grupo seja conhecido principalmente por suas atividades financeiras, é um bom lembrete de que também pode estar por trás de informações estratégicas. Acreditamos que todas as entidades que estão atualmente envolvidas em atividades como pesquisa de vacinas ou gerenciamento de crises devem estar em alerta máximo contra ciberataques”, diz Seongsu Park, especialista em segurança da Kaspersky.
Os produtos da Kaspersky já detectam o malware wAgent como HEUR: Trojan.Win32.Manuscrypt.gen e Trojan.Win64.Manuscrypt.bx. Já o malware Bookcode é detectado como Trojan.Win64.Manuscrypt.ce.
Proteção contra ameaças sofisticadas
- Permita que as equipes de segurança (SOC) tenham acesso aos relatórios de inteligência mais recentes, como os existentes em nosso portal de Threat Intelligence da Kaspersky. Eles oferecem detalhes técnicos de ciberataques coletados pela Kaspersky por mais de 20 anos e permitem às equipes identificar e bloquear ataques avançados.
- Treine todos os funcionários sobre higiene básica de segurança, já que muitos ataques direcionados começam com uma simples mensagem falsa ou de engenharia social.
- As organizações que desejam conduzir suas próprias investigações podem aproveitar o Kaspersky Threat Attribution Engine. Ele analisa o código malicioso e o compara com o banco de dados de malware da Kaspersky para encontrar semelhanças e ajudar a identificar grupos que possam estar por trás dos ataques.
- Para aprimorar a detecção nos dispositivos, realizar investigações e responder com mais agilidade, conte com uma solução de XDR, como a Kaspersky Endpoint Detection and Response.
- Além da proteção essencial, é importante contar com uma solução avançada para conseguir identificar campanhas direcionadas ou muito complexas, como o Kaspersky Anti Targeted Attack Platform.