A empresa de segurança cibernética Trend Micro detectou que o grupo de hackers Outlaw atualizou seu kit de ferramentas para roubar dados das empresas há quase meio ano.
O Outlaw - que ficou ostensivamente silencioso desde junho do ano passado - tornou-se ativo novamente em dezembro, com atualizações nas capacidades de seus kits, que agora têm como alvo mais sistemas, de acordo com uma análise da Trend Micro publicada em 10 de fevereiro. Os kits em questão foram projetados roubar dados das indústrias automotiva e financeira.
Novas funções dos kits
Os novos desenvolvimentos do grupo incluem parâmetros e metas do scanner, técnicas avançadas de violação usadas para atividades de digitalização, aumento dos lucros da mineração, eliminando a concorrência e seus próprios mineradores, entre outros.
De acordo com a análise, os novos kits atacaram sistemas operacionais baseados em Linux e Unix, servidores vulneráveis e dispositivos Internet of Things. Os hackers também usaram web shells simples baseados em PHP - scripts maliciosos carregados em um servidor, com o objetivo de fornecer ao invasor acesso e administração remotos do dispositivo. A análise explicou ainda:
“Embora nenhuma campanha iniciada por phishing ou engenharia social tenha sido observada nesta campanha, encontramos vários ataques na rede considerados 'altos'. Isso envolveu operações de varredura em larga escala de intervalos de IP intencionalmente iniciadas a partir do comando e controle (C&C ) servidor. Os gráficos da rede, que mostram picos de atividade associados a ações específicas, também sugerem que as verificações foram cronometradas. ”
Onde começaram os ataques
Os ataques começaram ostensivamente a partir de um servidor virtual privado (VPS) que procurava comprometer um dispositivo vulnerável. “Depois de infectados, os comandos C&C do sistema infectado iniciam uma atividade alta de varredura e espalham a botnet enviando um “kit completo” de arquivos binários de uma só vez, com convenções de nomenclatura iguais às já existentes no host de destino, provavelmente apostando em romper via 'segurança através da obscuridade'”, dizia o post.
Juntamente com as novas ferramentas, o Outlaw explora ostensivamente códigos, scripts e comandos desenvolvidos anteriormente. O grupo também usa uma grande quantidade de endereços IP como entrada para atividades de verificação agrupadas por país. Isso ostensivamente lhes permite atacar regiões ou áreas específicas dentro de períodos específicos do ano.
Ferramentas avançadas para hackers
Em junho, a Trend Micro declarou ter detectado um endereço da Web espalhando uma botnet com um componente de mineração Monero (XMR) ao lado de um backdoor. A empresa atribuiu o malware ao Outlaw, já que as técnicas empregadas eram quase as mesmas utilizadas em operações anteriores.
O software em questão também foi equipado com recursos de DDoS (Distributed Denial of Service), “permitindo que os cibercriminosos monetizem sua botnet por meio da mineração de criptomoedas e oferecendo serviços de DDoS por locação”.
Em janeiro, o grupo de hackers Lazarus, supostamente patrocinado pelo governo norte-coreano, implantou novos vírus para roubar criptomoedas. O grupo estava usando uma interface de negociação de criptomoeda de código aberto modificada chamada QtBitcoinTrader para entregar e executar código malicioso no que foi chamado de "Operação AppleJeus".