Um grupo de hackers da China vem instalando ransomwares de curta duração em sistemas corporativos como iscas para complexas operações de espionagem industrial. O ataque virtual tem grandes empresas como alvo, entre elas farmacêuticas no Brasil e nos EUA, fabricantes de componentes eletrônicos no Japão e Lituânia e divisões militares na Índia.
Segundo a Secureworks, responsável pela identificação do APT (ameaça persistente avançada, na sigla em inglês), o grupo Bronze Starlight faz uso de ransomwares como LockFile, Atom Silo, Rook e Pandora. Ransomwares são ataques em que cibercriminosos invadem máquinas e criptografam arquivos para sequestrar sistemas, cobrando resgate para restabelecer o acesso.
De acordo com o relatório da empresa, o ransomware distrai os respondentes de identificar a intenção dos invasores. Com isso, reduz-se a probabilidade de atribuir a atividade maliciosa a hackers provavelmente patrocinados pelo governo da China, de acordo com a Secureworks.
“Em cada caso, o ransomware tem como meta um pequeno número de vítimas durante um período de tempo relativamente curto antes de cessar as operações, aparentemente de forma definitiva”, diz a pesquisa.
Ainda segundo a Secureworks, é plausível que o Bronze Starlight implemente o ransomware como cortina de fumaça e não para ganho financeiro. O objetivo, em última instância, é realizar espionagem industrial e roubar propriedade intelectual.
Leia mais:
- Entenda o ciberataque que afetou mais de 200 mil PCs em 150 países
- Ataques de ransomware: Brasil ocupa 4º lugar entre os países mais afetados
- Depois de pagar resgate de ransomware, empresas ainda têm que gastar 7 vezes mais em reparos
Alvos são de interesse para grupos patrocinados por governo da China
Ativo desde meados de 2021, o Bronze Starlight é rastreado pela Microsoft sob a alcunha de DEV-0401. A empresa americana enfatiza o envolvimento do grupo hacker em todos os estágios do ciclo de ataque de ransomware, desde o acesso inicial à instalação da carga viral.
“Como o DEV-0401 renomeia suas próprias cargas de ransomware, eles podem aparecer como grupos diferentes em relatórios orientados por carga e evitar detecção e ações”, observa a Microsoft em relatório.
Ao submeter uma rede, os hackers da China usam o malware Hui Loader para executar malwares secundários como Cobalt Strike e WMI (Windows Maanagement Instrumentation). Historicamente, o Hui Loader é utilizado por adversários do governo chinês, o que leva à tese da Secureworks de que os ataques sejam para fins de espionagem (e não lucro financeiro).
Além disso, a maioria dos alvos dos hackers é de interesse para grupos patrocinados pelo governo da China, focados em coleta de dados de longo prazo. Para esse fim, as operações de ransomware, além de fornecer um meio de exfiltrar dados, permitem que o agente da ameaça destrua evidências forenses de atividades maliciosas.
“O ransomware pode afetar significativamente uma organização comprometida e consumir todos os esforços de resposta a incidentes”, diz o relatório da Secureworks. “A pressão para retornar às operações comerciais normais impedem que as vítimas detectem atividades suspeitas que não estejam diretamente relacionadas a ele.”
Crédito da imagem principal: Trambler58/Shutterstock
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: