Portugal entre as vítimas da Operação Ghoul, uma ciberameaça dirigida a organizações industriais e de engenharia
Com e-mails de phishing e malware em programas de spyware, os hackers conseguiram intercetar dados valiosos de empresas, armazenados nas suas redes.
- Telemoveis.com
- 15/09/2016
- Apps, Ferramentas, Tecnologia
*Está a ler um comunicado de imprensa
Os investigadores da Kaspersky Lab descobriram a Operação Ghoul, uma nova onda de ataques online dirigidos a diferentes sectores em vários países de todo o mundo, entre os quais Portugal – com 3 vítimas registadas em organizações do setor industrial e manufatura.
Mediante a utilização de e-mails de phishing e malware em programas de spyware, os hackers conseguiram intercetar dados valiosos de empresas, que estavam armazenados nas suas redes. No total, foram contabilizadas mais de 130 organizações de 30 países atingidos. Espanha, Paquistão, Emirados Árabes Unidos, Índia, Egito, Reino Unido, Alemanha e Arábia Saudita são alguns dos países na lista.
Em junho de 2016, foi detetada uma nova onda de phishing que continha documentos malignos. Estas mensagens foram enviadas principalmente a administradores, quadros médios e intermédios de várias empresas. Os e-mails pareciam vir de um banco dos Emirados Árabes Unidos e simulavam um aviso de pagamento do banco com um documento SWIFT anexado, mas na realidade esse documento continha malware.
O mais provável é que a campanha de phishing tenha sido organizada por um grupo de hackers que os investigadores da organização já estavam a seguir desde março de 2015. Os ataques do mês de junho parecem ser a operação mais recente.
O malware presente nos documentos anexados baseia-se no software comercial de spyware HawkEye que se vende abertamente na Darkweb, e que oferece uma variedade de ferramentas aos hackers.
Depois da instalação, recolhe os dados mais interessantes do computador da vítima, incluindo:
- DigitaçõesDados do escritório
- Credenciais para o servidor FTP
- Dados das contas dos utilizadores
- Dados das contas de clientes em programas de chat (Paltalk, Google Talk, AIM…)
- Dados das contas de clientes em e-mails (Outlook, Windows Live Mail …)
- Informação acerca das aplicações instaladas (Microsoft Office)
Os dados são depois enviados aos servidores de controlo do ator-ameaça. A maioria das vítimas era organizações que trabalham nos setores industrial e de engenharia, como transporte, produtos farmacêuticos, manufatura, organizações de educação, etc. Todas estas empresas possuíam informação de relevo que poderia depois ser vendida no mercado negro.
A Operação Ghoul, assim intitulada pela equipa da Kaspersky Lab, é apenas uma entre outras tantas campanhas do mesmo grupo.
“No antigo folclore, Ghoul é um espírito maligno associado ao consumo de carne humana e à caça de crianças, originalmente um demónio mesopotâmico. Hoje em dia, este termo é utilizado por vezes para descrever uma pessoa gananciosa ou materialista. Esta é uma descrição precisa do grupo que está por detrás da Operação Ghoul. A sua principal motivação é o benefício económico que é retirado da venda de propriedades intelectuais roubadas e inteligência de negócios, ou de ataques às contas bancárias das vítimas. Contrariamente aos atores dirigidos pelos Estados, que elegem cuidadosamente os objetivos, este e outros grupos semelhantes podem atacar qualquer empresa. Apesar de utilizarem ferramentas maliciosas bastante simples, são muito eficazes nos seus ataques. Assim, as empresas que não estão preparadas para detetar estes ataques acabam por sofrer muito com eles”, afirma Alfonso Dominguez, Diretor Geral da Kaspersky Lab Iberia.
Com o objetivo de proteger as empresas da Operação Ghoul, bem como de outras ameaças, os investigadores da Kaspersky Lab recomendam que as empresas implementem as seguintes medidas:
- Educar os seus colaboradores, no sentido de estes serem capazes de distinguir um e-mail de phishing ou links de falsificação de identidade de e-mails reais;
- Utilizar uma solução de segurança corporativa, que combine soluções dirigidas contra-ataque e que seja capaz de captar ataques mediante a análise de anomalias na rede;
- Proporcionar aos seus colaboradores da área de segurança o acesso aos últimos dados de inteligência de ciber-ameaças, no sentido de prevenir e descobrir ataques dirigidos, como indicadores de regras e compromisso e Yara
Os produtos da Kaspersky Lab detetam o malware utilizado pelo grupo por detrás da Operação Ghoul com os seguintes nomes:
- Trojan.MSIL.ShopBot.ww
- Trojan.Win32.Fsysna.dfah
- Trojan.Win32.Generic