Infraestruturas críticas são um dos alvos preferenciais para exigir ataques APT (ameaças persistentes avançadas). O que os torna realmente perigosos é que os ATPs não atacam por acidente, mas têm um objetivo específico. Se um ataque cibernético avançado conseguir paralisar o suprimento de água ou interromper a operação de um hospital, o APT cumprirá sua missão: enfraquecer um país "inimigo".
LYCEUM, uma nova ameaça
Em julho, vimos um exemplo dessa atividade contra infraestrutura crítica quando um APT chamado XENOTIME, que, segundo se diz atacar empresas de petróleo no Oriente Médio, entrou nas redes de empresas de energia nos Estados Unidos.
Agora, um novo APT chamado LYCEUM foi descoberto pela contratação de empresas de gás e petróleo no Oriente Médio. De acordo com pesquisadores da Dell SecureWorks, o grupo pode estar ativo desde abril de 2018. Registros de domínio indicam que o LYCEUM lançou ataques na África do Sul no ano ado, possivelmente no setor de telecomunicações. O grupo parece se concentrar em obter e expandir o o dentro de uma rede de destino.
Uma ampla gama de táticas
Para ar as contas das empresas vítimas, os atacantes do LYCEUM usaram uma tática chamada "Spra Spraying". É o uso de uma lista de senhas comuns usadas para tentar ar um grande número de contas em um ataque de força bruta. Depois que a conta é comprometida, o grupo a usa para iniciar um ataque Spear phishing contra outros usuários da empresa que enviam arquivos maliciosos do Excel.
Uma característica estranha desta campanha é o senso irônico dos atacantes. Muitos dos e-mails usavam um assunto relacionado às melhores práticas de segurança. Por exemplo, um email continha um anexo malicioso chamado "As 25 piores senhas de 2017".
Quando um usuário clica no Excel anexado, é fornecido um malware chamado DanBot, um RAT (Trojan de o Remoto), com o qual qualquer comando pode ser executado e os arquivos podem ser carregados e baixados. Outra ferramenta que o LYCEUM usa é chamada kl.ps, Este é um keylogger personalizado.
A origem do LYCEUM
Apesar das informações registradas, o grupo de pesquisa não parece capaz de identificar a origem do LYCEUM, mas já havia visto parte do estilo usado por esse grupo de cibercriminosos, Rafe Pilling, da SecureWorks, explica: “Foi muito interessante encontrar um novo Grupo com um estilo de descoberta semelhante ao do APT iraniano, mas sem outros recursos técnicos que nos permitissem relacioná-lo a qualquer atividade previamente documentada. "
Como você pode se defender contra essa ameaça?
A intrusão de um invasor em uma empresa ou organização é uma preocupação importante. Mas quando se trata de organizações que controlam algo tão importante quanto a energia de um país, a proteção contra essas ameaças é essencial.
O uso de uma técnica como "injeção de senha" destaca a importância de senhas robustas. Combinações óbvias como qwerty ou 1234 não devem ser usadas. Também é importante que as senhas não sejam reutilizadas em várias contas. Se uma senha for usada para todos os serviços, uma violação de dados poderá fornecer credenciais que podem ser usadas em um ataque ao bloco de credenciais.
O uso de anexos mal-intencionados nesta campanha nos lembra da importância de ter cuidado com os arquivos que recebemos por email. No caso do LYCEUM, é particularmente relevante porque o uso de Spear phishing Isso significa que os e-mails parecem pertencer a um parceiro conhecido. Você deve se perguntar se o parceiro em questão realmente enviaria esse arquivo.
Soluções avançadas de segurança cibernética são outro elemento importante para se proteger contra essas ameaças. O Panda Adaptive Defense monitora constantemente todos os processos em execução em um sistema de computador. Ele interrompe qualquer processo suspeito antes de ser executado. Isso significa que sua empresa não será prejudicada, mesmo que um arquivo malicioso seja recebido em um email.