3 min read

Putin adverte infraestrutura crítica russa para se preparar para possíveis ataques cibernéticos

Putin adverte infraestrutura crítica russa para se preparar para possíveis ataques cibernéticos

O governo russo alertou na quinta-feira sobre ataques cibernéticos direcionados a operadores domésticos de infraestrutura crítica, já que a invasão total do país à Ucrânia entra no segundo dia.

Além de alertar para a “ameaça de aumento na intensidade dos ataques de computador”, o Centro Nacional de Coordenação e Resposta a Incidentes de Computador da Rússia disse que os “ataques podem ter como objetivo interromper o funcionamento de importantes recursos e serviços de informação, causando danos à reputação, inclusive para fins políticos.”

“Qualquer falha na operação de objetos [infraestrutura de informação crítica] devido a um motivo que não é estabelecido de forma confiável, em primeiro lugar, deve ser considerada como resultado de um ataque de computador”, acrescentou a agência.

Além disso, notificou sobre possíveis operações de influência realizadas para “formar uma imagem negativa da Federação Russa aos olhos da comunidade mundial”, ecoando um alerta semelhante divulgado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) na semana passada sobre os esforços de manipulação de informações. de atores estrangeiros para atacar entidades críticas.

A agência, no entanto, não compartilhou mais detalhes sobre a natureza dos ataques ou sua proveniência.

O aviso vem quando vários sites governamentais e bancários na Rússia, incluindo o militar (mil.ru), o Kremlin (kremlin.ru) e a Duma do Estado (duma.gov.ru), foram tornados inacessíveis em meio a uma onda de ataques cibernéticos ofensivas contra a Ucrânia que resultaram na implantação de um limpador de dados chamado HermeticWiper em centenas de máquinas no país do Leste Europeu.

“É importante notar que o limpador aproveita altos privilégios no host comprometido para torná-lo ‘não inicializável’, substituindo os registros e configurações de inicialização, apagando as configurações do dispositivo e exclui cópias de sombra”, Lavi Lazarovitz, chefe de pesquisa de segurança do CyberArk Labs , disse em um comunicado compartilhado com o The Hacker News.

“O limpador está configurado para não criptografar controladores de domínio – ou seja, manter o domínio em execução e permitir que o ransomware use credenciais válidas para autenticar servidores e criptografá-los. Isso destaca ainda mais que os agentes de ameaças usam identidades comprometidas para acessar a rede e / ou mover-se lateralmente”, elaborou Lazarovitz.

Não está claro quantas redes foram afetadas pelo malware de limpeza de dados inédito, que visava organizações dos setores financeiro, de defesa, aviação e TI, de acordo com a Symantec. A empresa de propriedade da Broadcom também disse que observou evidências de ataques de limpadores contra máquinas na Lituânia, implicando um efeito de transbordamento.

Além disso, as ações do HermeticWiper se sobrepõem a outro limpador de dados chamado WhisperGate, que foi relatado pela primeira vez como sendo usado contra organizações ucranianas em janeiro. Como o último, o malware recém-descoberto é acompanhado pela distribuição de uma variedade de ransomware nos sistemas comprometidos.

malware ransomware é um arquivo .EXE de 3,14 MB e 64 bits, escrito em Golang, segundo o engenheiro de resposta a incidentes da Cybereason, Chen Erlich, que compartilhou uma análise preliminar do executável.

“Parece provável que o ransomware tenha sido usado como isca ou distração dos ataques do limpador”, disse a Symantec . “Isso tem algumas semelhanças com os ataques anteriores do limpador WhisperGate contra a Ucrânia, onde o limpador estava disfarçado de ransomware”.

A análise forense inicial sugere que os ataques podem estar em modo de preparação por pelo menos três meses, com atividades maliciosas potencialmente relacionadas detectadas em uma organização lituana já em 12 de novembro de 2021. Além disso, uma das amostras do HermeticWiper foi encontrada com um carimbo de data/hora de compilação de 28 de dezembro de 2021.

Embora as últimas ações disruptivas ainda não tenham sido formalmente atribuídas, os governos do Reino Unido e dos EUA vincularam os ataques DDoS à Ucrânia em meados de fevereiro à Diretoria Principal de Inteligência da Rússia (também conhecida como GRU).

À medida que os ataques continuam a se desenrolar nos domínios físico e digital, a Reuters informou que o governo ucraniano está buscando a ajuda da comunidade de hackers subterrâneos no país para afastar infiltrações cibernéticas destinadas a infraestrutura crítica e realizar missões secretas de espionagem contra os invasores russos. forças.