Andariel: Grupo APT norte-coreana expande os seus ataques com novos resgates

 Andariel: Grupo APT norte-coreana expande os seus ataques com novos resgates

Os peritos da Kaspersky descobriram novos ataques de Andariel, um subgrupo norte-coreano da APT do Lazarus, conhecido pelas campanhas na Coreia do Sul. Os ataques envolveram modificações do conhecido malware, DTrack, bem como do novíssimo Maui ransomware. Visavam organizações de alto perfil nos EUA, Japão, Índia, Vietname e Rússia.

Andariel é um grupo norte-coreano patrocinado pelo Estado que operou durante mais de uma década dentro do infame grupo Lazarus, e os investigadores da Kaspersky identificaram um incidente interessante no Japão envolvendo um resgate nunca antes visto de Maui. No entanto, em 2022, o grupo continuou a expandir o seu arsenal malware e a geografia dos seus ataques. Como a CISA relatou em Julho de 2022, Andariel afectou organizações públicas e de saúde com o Maui ransomware. Após as suas pesquisas, os peritos Kaspersky revelaram uma análise minuciosa do grupo APT.

Mostra que o Andariel implementa um conhecido malware DTrack, que executa um código de shell incorporado, carregando uma carga útil final in-memory do Windows. De acordo com a Kaspersky Threat Attribution Engine, este spyware foi alegadamente criado pelo Grupo Lazarus e está a ser utilizado para carregar e descarregar ficheiros para os sistemas das vítimas, registar teclas e conduzir outras acções típicas de uma ferramenta de administração remota maliciosa (RAT). O DTrack recolhe informações do sistema e histórico do navegador através de comandos do Windows. Curiosamente, o tempo de permanência dentro das redes alvo pode durar meses antes da atividade.

O novo malware utilizado por Andariel em 2021 e 2022 foi apelidado de Maui ransomware. Identificámos o seu lançamento após o DTrack ter sido implantado dentro de uma organização. Maui tem sido utilizado para ataques em múltiplas ocasiões, visando principalmente empresas nos EUA e Japão. Os investigadores da Kaspersky avaliaram que o actor é oportunista e pode comprometer qualquer empresa em todo o mundo, independentemente da sua categoria de negócios, concentrando-se antes na sua boa situação financeira.

"Há anos que seguimos o grupo Andariel APT, e vemos que os seus ataques estão em constante evolução. O que requer uma atenção especial é que o grupo começou a aplicar resgates à escala global, demonstrando motivações e interesse financeiros contínuos", comenta Kurt Baumgartner, um perito em segurança da Kaspersky.

Para saber mais sobre Maui ransomware e outro malware utilizado por Andariel, leia o relatório em Securelist.com

Para se proteger e ao seu negócio de ataques de resgate, considere seguir estas recomendações Kaspersky:

• Não exponha os serviços remotos (como o RDP) a redes públicas a menos que seja absolutamente necessário e utilize sempre senhas fortes para eles.
• Instale rapidamente os patches disponíveis para soluções VPN comerciais, fornecendo acesso aos empregados remotos e atuando como gateways na sua rede.
• Mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que o software de resgate explore as vulnerabilidades
• Concentre a sua estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet. Preste especial atenção ao tráfego de saída para detetar ligações de cibercriminosos.
• Faça regularmente cópias de segurança dos dados. Certifique-se de que pode aceder rapidamente aos mesmos em caso de emergência, quando necessário.
• Utilizar soluções como o Kaspersky Endpoint Detection and Response Expert e o Kaspersky Managed Detection and response service, que ajudam a identificar e parar os ataques durante as fases iniciais, antes dos atacantes atingirem os seus objetivos finais.
• Eduque os seus colaboradores para proteger o ambiente corporativo. Cursos de formação dedicados podem ajudar, tais como os fornecidos na Plataforma Kaspersky Automated Security Awareness.
• Utilize uma solução de segurança de endpoint fiável, como a Kaspersky Endpoint Security for Business, que é alimentada por prevenção de exploração, deteção de comportamento e um mecanismo de remediação capaz de reverter ações maliciosas. A KESB também possui mecanismos de autodefesa, que podem impedir a sua remoção por cibercriminosos.
• Utilize as informações mais recentes da Threat Intelligence para se manter a par dos TTPs reais utilizados pelos agentes da ameaça. O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a TI da Kaspersky, fornecendo dados de ciberataque e insights recolhidos pela nossa equipa durante quase 25 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o acesso a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso, sem qualquer custo. Solicite aqui o acesso a esta oferta.