.
Entrevista O crimeware direcionado a bancos e outras organizações de serviços financeiros hoje apresenta recursos sofisticados e ferramentas de evasão, de acordo com o pesquisador de segurança líder da Kaspersky, Sergey Lozhkin.
“A hora mais sombria é agora para o setor financeiro, especialmente para grandes e médias corporações”, disse Lozhkin, durante um painel de discussão sobre ameaças a organizações de serviços financeiros.
BlackLotus, um rootkit de firmware de Interface de Firmware Extensível Unificada (UEFI) usado para máquinas Windows de backdoor, é uma dessas ferramentas recém-descobertas. Lozhkin disse que apareceu à venda com um preço de US$ 5.000 na cena do crime cibernético no início deste mês.
Esse código malicioso permite que criminosos ignorem o recurso de inicialização segura dos computadores, que supostamente impede que a máquina execute software não autorizado. Em vez disso, ao direcionar o UEFI, o malware BlackLotus é carregado antes de qualquer outra coisa no processo de inicialização, incluindo o sistema operacional e quaisquer ferramentas de segurança que possam interrompê-lo.
“Então, basicamente, se um bandido tiver acesso a uma rede ou a um computador, ele pode instalar essa ferramenta e ela será totalmente indetectável, totalmente persistente, no nível UEFI”, disse Lozhkin.
Se um bandido obtiver acesso a uma rede ou a um computador, ele poderá instalar essa ferramenta e ela será totalmente não detectada, totalmente persistente, no nível UEFI
Lótus Negro e outro malware sofisticado são geralmente, mas não exclusivamente, exercidos por equipes de nível governamental, que têm bolsos profundos e desenvolvedores altamente qualificados na folha de pagamento. Os criminosos também podem colocar as mãos nas ferramentas.
“Essas ameaças e tecnologias antes eram acessíveis apenas por caras que estavam desenvolvendo ameaças persistentes avançadas, principalmente governos”, afirmou Lozhkin. “Agora, esses tipos de ferramentas estão nas mãos de criminosos em todos os fóruns.”
Assim que viu o BlackLotus em um desses fóruns, “eu o queria imediatamente porque preciso fazer engenharia reversa e avisar nossos clientes imediatamente”, acrescentou Lozhkin.
Como pegar um bandido
Lozhkin passa seus dias monitorando fóruns criminais clandestinos e malwares de engenharia reversa compartilhados por meio desses canais nefastos, e ele já foi vice-presidente de operações de segurança cibernética do JP Morgan Chase.
Embora ele não nomeie as gangues de cibercriminosos que ele vê à espreita nas sombras por causa de propósitos investigativos em andamento, esses cibercriminosos motivados financeiramente tornaram-se muito bons em redirecionar ferramentas de ciberespionagem criadas pelo governo para realizar grandes assaltos a bancos – como o roubo de 1 bilhão de euros que se infiltrou em mais de 100 instituições financeiras em 40 países.
Lozhkin foi um dos investigadores de segurança privada que participou na derrubada, liderada pela Polícia Nacional Espanhola com o apoio da Europol, do FBI dos EUA e das autoridades romenas, moldavas, bielorrussas e taiwanesas.
“O crimeware moderno é realmente sofisticado, e os caras que codificam essas ferramentas são muito, muito inteligentes”, disse Lozhkin. “E às vezes eles nem precisam codificar nada. Por que escrever seu próprio código quando você pode facilmente comprá-lo online?”
As ferramentas da equipe vermelha deram errado
Como um caso em questão: gangues de ransomware e Cobalt Strike. Esta é uma ferramenta de teste de penetração legítima que desde então se tornou um método favorito para os cibercriminosos se moverem lateralmente pelas redes das vítimas, estabelecerem persistência e baixarem e executarem cargas maliciosas.
“E então temos Brute Ratel”, disse Lozhkin.
Este, é claro, é o kit de ferramentas pós-exploração desenvolvido por um ex-equipe vermelho da Mandiant. o malware quase indetectávelque pode evitar antivírus e software de detecção e resposta de endpoint, estava sendo vendido por US$ 3.000 antes que uma versão crackeada fosse vazou de graça em fóruns clandestinos.
“Vi um grande aumento no ano passado usando ferramentas legais para atacar instituições financeiras”, disse Lozhkin. “Cobalt Strike está em toda parte. Brute Ratel está em toda parte.”
Isso ilustra o “maior problema” com esses tipos de ferramentas de software que emulam adversários em um ambiente de TI e são projetadas para permanecer indetectáveis, acrescentou.
“Quando você está criando uma arma – e eu considero isso uma arma cibernética, uma ferramenta realmente perigosa que pode ser usada para se infiltrar em todas as organizações, todas as empresas – os cibercriminosos imediatamente obtêm essa ferramenta e a usam contra organizações”, disse Lozhkin.
Enquanto isso, a economia do ransomware cresce
Além disso, todas essas ferramentas maliciosas à venda também contribuem para a economia crescente do corretor de acesso inicial. Estes são os criminosos que vendem ou fornecem uma rota para uma organização por uma taxa ou corte dos lucros. Esse acesso é então usado por extorsionários para desviar dados confidenciais, criptografar arquivos usando ransomware e exigir pagamento para manter o silêncio sobre a invasão e limpar a bagunça.
“Esses caras estão em toda parte: eles invadem uma organização e vendem acesso”, disse Lozhkin, acrescentando que o preço do acesso inicial a corporações de alta receita que os criminosos acreditam que pagarão pedidos de resgate pode chegar a mais de US$ 50.000.
“Os clientes finais desses dados são grupos de ransomware”, observou ele. As gangues de ransomware têm seus próprios fóruns e também estão se tornando melhores no comércio, usando linguagens de programação modernas escrever código, criptografia não padrão para bloquear arquivos de organizações e até operações de negócios profissionais modelos.
Os desenvolvedores de ransomware também estão se tornando mais profissionais, e as recentes desacelerações do mercado e grandes demissões de tecnologia não estão ajudando, de acordo com Lozhkin. “Muitas pessoas estão vindo para o lado negro porque o lado negro está contratando.”
De alguma forma, embora ele permaneça otimista. “A hora mais escura é pouco antes do amanhecer. Há uma luz. Sempre há uma luz”, disse Lozhkin.
Após semanas de ataques de ransomware contra escolas e hospitaise golpes publicitários voltado para os aeroportos dos EUA, é difícil compartilhar desse otimismo. Mas aqui está esperando que ele esteja certo. ®
.
