São Paulo — InkDesign News — O grupo de hackers norte-coreano ScarCruft introduziu uma nova variante de ransomware chamada VCD, migrando de atividades de espionagem para ataques financeiramente motivados, conforme relatório publicado por especialistas da S2W.
Incidente e vulnerabilidade
Em julho, ScarCruft, conhecido por operações de espionagem, lançou uma campanha usando phishing para disseminar o ransomware VCD. Os ataques foram realizados pelo subgrupo ChinopuNK, que utilizou e-mails fraudulentos disfarçados de atualizações de códigos postais. Ao abrir esses arquivos, os usuários infectaram suas máquinas com uma variedade de malwares, incluindo variantes de malware existentes como ChillyChino, e backdoors escritos na linguagem de programação Rust.
Impacto e resposta
Os ataques resultaram na instalação de mais de nove tipos de malware que comprometem a integridade do sistema. Entre os programas utilizados estão LightPeek e FadeStealer, que têm como função roubar informações, além de um backdoor chamado NubSpy, que concede controle remoto ao atacante. A campanha utiliza a plataforma de mensagens em tempo real PubNub para disfarçar o tráfego malicioso, o que dificulta a detecção por sistemas de segurança convencionais.
“Os grupos de ameaça persistente avançada devem expandir suas ferramentas e borrar a linha entre espionagem e cibercrime.”
(“Advanced persistent threat groups must expand their toolsets and blur the line between espionage and cybercrime.”)— Mayank Kumar, Engenheiro de IA, DeepTempo
Mitigações recomendadas
Organizações devem implementar medidas de defesa robustas, como atualização regular de sistemas e aplicações, utilização de soluções de detecção de anomalias baseadas em aprendizado profundo, além de uma segmentação eficaz da rede. A implementação de patches e upgrades de segurança é crucial para mitigar vulnerabilidades. Recomenda-se também treinamento contínuo para funcionários, a fim de reconhecer ataques de phishing e outras tentativas de engenharia social.
“A detecção de anomalias deve ser aliada à segmentação eficaz e contenção rápida dos incidentes.”
(“Adaptive, deep learning–driven anomaly detection across network traffic, system events, and security logs, paired with strong segmentation, rapid containment, and visibility into both human and automated adversary activity, is essential to counter such blended threats.”)— Mayank Kumar, Engenheiro de IA, DeepTempo
Os riscos residuais incluem a potencial exfiltração de dados e a possibilidade de ataques futuros mais sofisticados. As organizações devem continuar a avaliar e fortalecer sua postura de segurança para enfrentar essa nova onda de ameaças cibernéticas.
Fonte: Hack Read – Segurança Cibernética
