Jump to content
  • Ataques de motivação financeira são executados por atacantes novatos no Irã


    Bruna Chieco

    A empresa de cibersegurança Group-IB, sediada em Cingapura, detectou ataques com motivação financeira realizados por criminosos no Irã em junho. Os invasores, que foram classificados pela empresa como novatos, usaram o ransomware Dharma e uma mistura de ferramentas publicamente disponíveis visando empresas na Rússia, Japão, China e Índia. Todas as organizações afetadas tinham hosts com RDP (Remote Desktop Protocol) voltado para a Internet e credenciais fracas. Os hackers normalmente exigiam um resgate entre 1 e 5 bitcoins. 

    Os pesquisadores observaram recentemente um aumento nas atividades em torno da distribuição de ransomware Dharma, que também é conhecido como Crysis e foi distribuído sob um modelo de ransomware-as-a-service (RaaS) pelo menos desde 2016. Seu código-fonte apareceu à venda em março de 2020, tornando-o disponível para um público mais amplo. Os hackers novatos supostamente estavam por trás de uma nova onda de distribuição de Dharma na Rússia e, embora o número exato de vítimas seja desconhecido, foi estabelecida a geografia das campanhas e o conjunto de ferramentas, que estão muito aquém do nível de sofisticação das grandes ameaças persistentes avançadas (APTs) iranianas.

    Os operadores do ataque utilizaram softwares populares para executar alguns passos do ataque, como entrar no sistema com força bruta e verificar a validade das credenciais obtidas em outros hosts acessíveis na rede; tentar elevar os privilégios; desabilitar o software antivírus integrado; etc. Algumas ferramentas foram baixadas pelos atacantes dos canais do Telegram em língua persa quando eles já estavam presentes na rede. Depois que as atividades de reconhecimento de rede foram concluídas, as informações coletadas foram utilizadas por eles para se moverem lateralmente pela rede usando o protocolo RDP. O objetivo final era derrubar e executar uma variante do ransomware Dharma.


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...