*Esta é uma publicação do blog Unit 42, unidade de pesquisa da Palo Alto Networks. Para a análise completa, visite o link (em inglês):

https://researchcenter.paloaltonetworks.com/2018/02/unit42-compromised-servers-fraud-accounts-recent-hancitor-attacks/

 

Se você precisa entender uma coisa sobre o cibercrime, é que é tudo sobre negócios.

Na pesquisa mais recente da Unit 42 da Palo Alto Networks sobre cibercriminosos usando o malware Hancitor, mostramos que seus ataques não são apenas sobre técnicas. Podemos ver esses cibercriminosos aplicando habilmente alguns princípios fundamentais de negócios como timing, especialização e globalização.

O Hancitor é um malware que busca colocar outros malware no sistema da vítima. Neste caso, Trojans para roubar informações bancárias das vítimas.

Notamos que os atacantes por trás do Hancitor possuem um comportamento interessante, eles alinharam seus ataques durante o período mais movimentado da semana de trabalho ao redor do mundo, particularmente no meio da semana. Ainda, a Unit 42 notou que adaptando os ataques para aprimorar a evasão, o grupo criminoso lapidou suas operações de modo global.

Este não se trata de um ataque particularmente avançado em termos táticos: seu alvo ideal são versões antigas ou desatualizadas do sistema operacional da Microsoft, como Windows 7 ou até mesmo o XP. Por outro lado, o Hancitor é eficaz o suficiente, usado em várias centenas de diferentes campanhas de spam. Todos os meses ele financia os criminosos para manter esses ataques contra alvos em todo o mundo.

Timing

Uma das coisas que saltou aos olhos dos pesquisadores da Unit 42 é o padrão claro sobre o momento dos ataques. Como podemos notar no gráfico abaixo, ao longo de 2017, os ataques do Hancitor mostram pontos claros em sua ocorrência durante o meio da semana.

 

*Todos os picos observados foram em dias do meio da semana.

 

Os criminosos por trás destas operações, não foram os primeiros a planejar o timing, mas esta é uma tática eficaz para alavancar as chances de sucesso, especialmente quando combinado com outra técnica que veremos a seguir.

Adaptando os ataques

No passado, o Hancitor era enviado como um arquivo anexo malicioso em um e-mail spam. Este arquivo deveria baixar e instalar o malware final do criminoso, como um Trojan bancário, a partir de um site malicioso ou mesmo um site comprometido.

Mas, à medida que as organizações se tornaram mais eficazes ao bloquear anexos maliciosos como Hancitor, vimos os atacantes se adaptarem para evitar a detecção e a prevenção.

Eles fizeram isso movendo o malware Hancitor de um anexo malicioso no spam para si mesmo, como um download malicioso. O spam que os atacantes usam não possuem mais um anexo, mas sim um link que, ao ser clicado, faz o download do Hancitor.

Para fazer isso, eles fazem com que o spam se pareça com algo legitimo que exige que você clique e faça o download de uma fatura, uma mensagem ou uma notificação de entrega. A imagem abaixo é um dos exemplos encontrados, em que o link malicioso está encoberto por um aviso falso de envio de mercadoria comprada em um site popular.

 

*Todos os picos observados foram em dias do meio da semana.

*O botão “Order details” contem uma URL que baixa o Hancitor de um servidor de distribuição.

 

Isto mostra que agora o ataque possui dois downloads ao invés de um e que os atacantes fizeram uma modificação com outra tática moderna, de negócios, a globalização.

 

Globalização dos ataques

 

*Todos os picos observados foram em dias do meio da semana.

 

O mapa mostra as localidades nas quais os pesquisadores da Unit 42 encontraram sites envolvidos com os ataques Hancitor, incluindo o Brasil.

Os países e o número de servidores de distribuição encontrados são:

  • Estados Unidos 197
  • Japão 23
  • Vietnã 13
  • Singapura 12
  • Rússia 7
  • Brasil 6
  • Malásia 6
  • Hong Kong 5
  • África do Sul 4
  • Tailândia 4
  • Índia 2
  • Irlanda 2
  • Cazaquistão 2
  • Taiwan 2
  • Turquia 2
  • Ucrânia 2
  • Argentina 1
  • Canadá 1
  • Alemanha 1
  • Israel 1
  • Itália 1
  • Holanda 1
  • República da Coreia 1
  • República da Lituânia 1
  • Reino Unido 1

Os hot spots nos Estados Unidos representam servidores de distribuição que foram criados usando contas fraudadas em vários provedores de host que estão hospedando os documentos do Hancitor. Enquanto na Ásia, representam sites legítimos de pequenas e médias empresas que foram comprometidos pelos criminosos para então hospedar os documentos maliciosos.

 

Conclusão

Os atacantes estão sempre tomando decisões empresariais para otimizar seus ataques de maneira que sejam bem-sucedidos e lucrativos. O que é mais interessante sobre o Hancitor é a forma como essas decisões refletem tão claramente a consciência das realidades de negócios (ao atingir os horários de trabalho máximos) e dividindo o "trabalho" de seus ataques de forma a refletir tão claramente as decisões comerciais legitimas, como de qualquer empresa, em torno das operações globalizadas.

No final, enquanto Hancitor pode não ser sofisticado, essas etapas para se adaptarem e permanecerem efetivas parecem ser bem-sucedidas. Prevemos que vamos continuar a ver o Hancitor como uma ameaça global no futuro.

 

Sobre a Palo Alto Networks

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernéticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização. Veja mais em www.paloaltonetworks.com

 

CONTATOS DA IMPRENSA

 

Capital Informação
Luciane Bernardi – (11) 9.8224-4404
luciane@capitalinformacao.com.br
Ricardo Varoli – (11) 9.9315-3522
ricardo@capitalinformacao.com.br
T. +55 11 3926 9517
www.capitalinformacao.com.br


Threat Brief: Hancitor, a visão de negócios do cibercrime

Principais Recomendações Para Prevenir Ransomware

O ransomware evoluiu de uma interferência de baixo grau para um negócio criminoso sofisticado e multimilionário que agora tem como alvo tanto indivíduos quanto empresas.

  • 471

Traps: Advanced Endpoint Protection

O Traps da Palo Alto Networks substitui antivírus tradicionais com uma abordagem de prevenção de vários métodos que protege endpoints contra malwares e explorações conhecidas e desconhecidas antes que elas possam comprometer um sistema.

  • 15633

O Valor da Plataforma de Segurança de Última Geração: Análise do Mundo Real

A combinação de ambientes de TI complexos e modernos e um cenário de ameaças em rápida evolução fez com que muitas empresas fossem desafiadas a controlar custos e, ao mesmo tempo, proteger efetivamente os sistemas dos quais suas operações dependem.

  • 447

PA-5200 Series

O PA-5200 Series da Palo Alto Networks® para dispositivos de firewall de última geração é composto pelo PA-5260, PA-5250 e PA-5220.

  • 55

Invasores do setor financeiro exploram as fraquezas da tecnologia blockchain

Ao olhar para 2017, prevejo que veremos as seguintes ameaças à segurança cibernética no setor de serviços financeiros.

  • 333

Estrutura De Segurança: Um Guia Para Líderes Empresariais

O objetivo deste documento é como lidar com essa lacuna ao fornecer aos líderes corporativos uma estrutura prática para lidar com as pessoas, os processos e os elementos tecnológicos do desafio da segurança cibernética.

  • 907