*Esta é uma publicação do blog Unit 42, unidade de pesquisa da Palo Alto Networks. Para a análise completa, visite o link (em inglês):

https://researchcenter.paloaltonetworks.com/2018/02/unit42-compromised-servers-fraud-accounts-recent-hancitor-attacks/

 

Se você precisa entender uma coisa sobre o cibercrime, é que é tudo sobre negócios.

Na pesquisa mais recente da Unit 42 da Palo Alto Networks sobre cibercriminosos usando o malware Hancitor, mostramos que seus ataques não são apenas sobre técnicas. Podemos ver esses cibercriminosos aplicando habilmente alguns princípios fundamentais de negócios como timing, especialização e globalização.

O Hancitor é um malware que busca colocar outros malware no sistema da vítima. Neste caso, Trojans para roubar informações bancárias das vítimas.

Notamos que os atacantes por trás do Hancitor possuem um comportamento interessante, eles alinharam seus ataques durante o período mais movimentado da semana de trabalho ao redor do mundo, particularmente no meio da semana. Ainda, a Unit 42 notou que adaptando os ataques para aprimorar a evasão, o grupo criminoso lapidou suas operações de modo global.

Este não se trata de um ataque particularmente avançado em termos táticos: seu alvo ideal são versões antigas ou desatualizadas do sistema operacional da Microsoft, como Windows 7 ou até mesmo o XP. Por outro lado, o Hancitor é eficaz o suficiente, usado em várias centenas de diferentes campanhas de spam. Todos os meses ele financia os criminosos para manter esses ataques contra alvos em todo o mundo.

Timing

Uma das coisas que saltou aos olhos dos pesquisadores da Unit 42 é o padrão claro sobre o momento dos ataques. Como podemos notar no gráfico abaixo, ao longo de 2017, os ataques do Hancitor mostram pontos claros em sua ocorrência durante o meio da semana.

 

*Todos os picos observados foram em dias do meio da semana.

 

Os criminosos por trás destas operações, não foram os primeiros a planejar o timing, mas esta é uma tática eficaz para alavancar as chances de sucesso, especialmente quando combinado com outra técnica que veremos a seguir.

Adaptando os ataques

No passado, o Hancitor era enviado como um arquivo anexo malicioso em um e-mail spam. Este arquivo deveria baixar e instalar o malware final do criminoso, como um Trojan bancário, a partir de um site malicioso ou mesmo um site comprometido.

Mas, à medida que as organizações se tornaram mais eficazes ao bloquear anexos maliciosos como Hancitor, vimos os atacantes se adaptarem para evitar a detecção e a prevenção.

Eles fizeram isso movendo o malware Hancitor de um anexo malicioso no spam para si mesmo, como um download malicioso. O spam que os atacantes usam não possuem mais um anexo, mas sim um link que, ao ser clicado, faz o download do Hancitor.

Para fazer isso, eles fazem com que o spam se pareça com algo legitimo que exige que você clique e faça o download de uma fatura, uma mensagem ou uma notificação de entrega. A imagem abaixo é um dos exemplos encontrados, em que o link malicioso está encoberto por um aviso falso de envio de mercadoria comprada em um site popular.

 

*Todos os picos observados foram em dias do meio da semana.

*O botão “Order details” contem uma URL que baixa o Hancitor de um servidor de distribuição.

 

Isto mostra que agora o ataque possui dois downloads ao invés de um e que os atacantes fizeram uma modificação com outra tática moderna, de negócios, a globalização.

 

Globalização dos ataques

 

*Todos os picos observados foram em dias do meio da semana.

 

O mapa mostra as localidades nas quais os pesquisadores da Unit 42 encontraram sites envolvidos com os ataques Hancitor, incluindo o Brasil.

Os países e o número de servidores de distribuição encontrados são:

  • Estados Unidos 197
  • Japão 23
  • Vietnã 13
  • Singapura 12
  • Rússia 7
  • Brasil 6
  • Malásia 6
  • Hong Kong 5
  • África do Sul 4
  • Tailândia 4
  • Índia 2
  • Irlanda 2
  • Cazaquistão 2
  • Taiwan 2
  • Turquia 2
  • Ucrânia 2
  • Argentina 1
  • Canadá 1
  • Alemanha 1
  • Israel 1
  • Itália 1
  • Holanda 1
  • República da Coreia 1
  • República da Lituânia 1
  • Reino Unido 1

Os hot spots nos Estados Unidos representam servidores de distribuição que foram criados usando contas fraudadas em vários provedores de host que estão hospedando os documentos do Hancitor. Enquanto na Ásia, representam sites legítimos de pequenas e médias empresas que foram comprometidos pelos criminosos para então hospedar os documentos maliciosos.

 

Conclusão

Os atacantes estão sempre tomando decisões empresariais para otimizar seus ataques de maneira que sejam bem-sucedidos e lucrativos. O que é mais interessante sobre o Hancitor é a forma como essas decisões refletem tão claramente a consciência das realidades de negócios (ao atingir os horários de trabalho máximos) e dividindo o "trabalho" de seus ataques de forma a refletir tão claramente as decisões comerciais legitimas, como de qualquer empresa, em torno das operações globalizadas.

No final, enquanto Hancitor pode não ser sofisticado, essas etapas para se adaptarem e permanecerem efetivas parecem ser bem-sucedidas. Prevemos que vamos continuar a ver o Hancitor como uma ameaça global no futuro.

 

Sobre a Palo Alto Networks

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernéticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização. Veja mais em www.paloaltonetworks.com

 

CONTATOS DA IMPRENSA

 

Capital Informação
Luciane Bernardi – (11) 9.8224-4404
luciane@capitalinformacao.com.br
Ricardo Varoli – (11) 9.9315-3522
ricardo@capitalinformacao.com.br
T. +55 11 3926 9517
www.capitalinformacao.com.br


Threat Brief: Hancitor, a visão de negócios do cibercrime

Resumo das especificações e recursos da plataforma da Palo Alto Networks

Organizações do mundo todo estão ampliando suas iniciativas de nuvem e vir- tualização além das tradicionais implantações de centro de dados e de nuvem pública. As novas iniciativas incluem segurança como um componente NFV ou como uma solução mais completa para vários locatários.

  • 3818

PA-5200 Series

O PA-5200 Series da Palo Alto Networks® para dispositivos de firewall de última geração é composto pelo PA-5260, PA-5250 e PA-5220.

  • 363

PA-3200 Series

Organizações do mundo todo estão ampliando suas iniciativas de nuvem e vir- tualização além das tradicionais implantações de centro de dados e de nuvem pública. As novas iniciativas incluem segurança como um componente NFV ou como uma solução mais completa para vários locatários.

  • 3713

PA-800

Dispositivos Palo Alto Networks PA-800 Series de última geração, incluindo o PA-820 e o PA-850, são desenvolvidos para proteger filiais corporativas e empresas de médio porte.

  • 3798

FIREWALL DE ÚLTIMA GERAÇÃO VM-SERIES

Organizações do mundo todo estão ampliando suas iniciativas de nuvem e vir- tualização além das tradicionais implantações de centro de dados e de nuvem pública. As novas iniciativas incluem segurança como um componente NFV ou como uma solução mais completa para vários locatários.

  • 3698

PA-3000 Series Specsheet

O PA-3000 Series gerencia os fluxos do tráfego de rede usando processamento e memória dedicados para rede, segurança, gerenciamento e prevenção de ameaças.

  • 4443