Total Security - totalsecurity.com.br
Hackers e Cia
Quarta - 30 de Outubro de 2013 às 09:24

    Imprimir


Centenas de organizações globais têm sido infectadas por uma botnet (rede maliciosa de computadores zumbis) russa como parte de uma campanha de cibercrime que pode estar relacionada ao misterioso pico de tráfego que atingiu o sistema de anonimato Tor em agosto, disse a empresa de segurança Websense.

Ao usar a botnet Mevade como seu mecanismo de distribuição, a campanha teve início em 23 de julho e atacava com sucesso um número considerável de organizações nos setores, incluindo (em ordem de taxas de infecção) serviços de negócios, manufaturas, governo, transporte, saúde e comunicações, disse a empresa.

O maior número de infecções foi registrado nos EUA, com concentrações menores em toda a Europa e América do Sul. 

A ausência de infecções na Rússia era pouco provável que fosse uma coincidência, de fato, "o uso pesado de infraestrutura de ataque localizada na Ucrânia e na Rússia, o malware Mevade conecta este grupo a uma gangue de cibercriminosos potencialmente bem-financiados que operam a partir de Kharkov, na Ucrânia, e na Rússia", disse nota de pesquisa da Websense.

Tor

O uso de Mevade que diz. Esta botnet já foi conectada por diversas empresas ao relatarem sobre o dramático pico de tráfego que inundou o sistema Tor em 19 de agosto.

Uma série de teorias têm sido propostas para essa migração do Mevade para o Tor, incluindo a que era uma tentativa experimental desajeitada de esconder o servidor de comando e controle da botnet. De acordo com a Websense, a razão real mais provável é a de ser uma tentativa de esconder o controle do malware associado à campanha.

Isto traz a Websense ao ponto alto da campanha do Mevade. A resposta parece ser um pouco de tudo, incluindo oa ligação com o crybercrime, fraude de cliques, e sequestro de buscas. 

Mas a empresa também notou que a campanha incluiu a "3proxy", uma ferramenta de proxy reverso que poderia ser usada como "caminho" pelos atacantes, direto para a camada de NAT para a rede alvo. Isso não é algo que cibercriminosos comerciais normalmente se incomodariam.

"O uso de proxies reversos indica que os cibercriminosos pretendem verificar manualmente uma rede e se mover lateralmente para aplicações mais críticas e informações (como bancos de dados, sistemas críticos, códigos-fonte e repositórios de documentos) que possam existir na máquina original comprometida", disse a Websense.

Usado em conjunto com Mevade e Tor, a Websense constroi uma imagem convincente de que isso é mais do que uma campanha de cibercrime padrão e inclui um local de espionagem não-fixo.

Qualquer que seja o objetivo desta campanha, ele é mais improvisado do que avançado e certamente não é está a altura de ataques APTs chineses e muito menos de armas cibernéticas como Stuxnet, Duqu, Flame e Gauss. Se essa campanha se parece com alguma coisa, é mais com um movimento de negócios feito por um grupo de cibercriminosos profissionais que querem coletar alguns documentos úteis para um esquema maior.






Fonte: IDGNOW

Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/3037/visualizar/