Hackers russos lançam ransomware contra empresas do próprio país

O atual conflito geopolítico entre Rússia e Ucrânia se tornou um cenário propício para os criminosos, que se beneficiam da situação para explorar ainda mais as vulnerabilidades cibernéticas das empresas. O diretor de cibersegurança da Netskope, Paolo Passeri, divulgou uma análise revelando que, se até pouco tempo atrás as habilidades avançadas dos russos seguiam um protocolo informal de ataques globais executados geralmente “de dentro para fora”, agora estão crescendo os registros de ameaças entre compatriotas.

Os hackers se aproveitam da instabilidade atual de segurança, na qual diversos fornecedores de soluções de segurança suspenderam suas operações na Rússia, aumentando a exposição das empresas e transformando-as em alvos fáceis.

O grupo OldGremlin, especializado em ataques de ransomware e que tem como alvo organizações na Rússia desde meados de 2020, ressurgiu e foi identificado recentemente. A falta de estabilidade incentivou os golpistas a lançarem duas novas campanhas para explorar o impacto das sanções ao país.

A equipe do OldGremlin realizou um ataque em 22 de março que aproveitou especificamente da suspensão das operações da Visa e da Mastercard no país. A ação envolveu um e-mail de phishing encorajando o usuário a preencher um formulário para solicitar um novo cartão. Na verdade, o formulário é um documento malicioso do Office hospedado no Dropbox que, uma vez executado, carrega um template hospedado também no Dropbox. Trata-se de um backdoor chamado TinyFluff que os invasores usam para realizar atividades maliciosas, como coleta e roubos de informações e download de arquivos.

Além das fronteiras

Dentro do contexto geopolítico, vale destacar também um exemplo completamente diferente de ataque que teve como alvo o setor bancário africano, novamente via Dropbox, e dessa vez disseminando o RemcosRAT no OneDrive. Nesta campanha, curiosamente, o payload foi entregue por meio do downloader GuLoader que, neste caso, não usou um serviço de nuvem para se espalhar, mas sim por meio da técnica de contrabando de HTML.