Nota: O seguinte artigo irá ajudá-lo com: Coreia do Norte mira empresas de blockchain e criptomoedas
Um infame ator de ameaças patrocinado pelo estado norte-coreano está atingindo várias organizações nos setores de blockchain e criptomoedas. Aprenda como proteger a si mesmo.
Um novo aviso de segurança cibernética foi divulgado pelo FBI, pela Agência de Segurança Cibernética e Infraestrutura e pelo Departamento do Tesouro. O comunicado descreve as atividades recentes do Lazarus Group, especializado em ameaças persistentes avançadas e organizações-alvo nas indústrias de blockchain e criptomoeda.
VEJA: Violação de senha: Por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
Quem é o Grupo Lázaro?
O Lazarus Group, também conhecido como APT38, BlueNoroff e Stardust Chollima, é um conhecido ator de ameaças patrocinado pelo Estado da Coreia do Norte. O grupo está ativo desde 2009. Embora inicialmente focado em alvos sul-coreanos, interrompendo e danificando computadores de várias organizações, o grupo começou a se concentrar em crimes financeiros internacionais.
Um aviso anterior já foi publicado sobre exchanges de criptomoedas e empresas de serviços financeiros sendo alvo de Lazarus. O FBI também anunciou que Lazarus foi responsável pelo roubo de US$ 620 milhões em Ethereum em março de 2022 (Figura A).
Figura A
Compromisso inicial
Os ataques começam com mensagens de spear phishing enviadas em várias plataformas de comunicação pelo grupo. Essas mensagens são enviadas para vários funcionários das empresas de criptomoedas, geralmente administradores de sistema, desenvolvedores de software e equipe de TI.
As mensagens geralmente prometem oportunidades de trabalho lucrativas para atrair o funcionário visado a baixar aplicativos de criptomoedas com malware, que o governo dos EUA chama de TraderTraitor. Uma vez baixado e executado, o código malicioso instala uma carga adicional.
“Esta campanha combina várias tendências populares em um ataque”, disse Tim Erlin, vice-presidente de estratégia da Tripwire. “Certamente já vimos ataques focados em criptomoedas antes, e softwares maliciosos não são novidade. É importante que os leitores entendam que este alerta não é sobre uma nova tecnologia, mas sobre o aumento da atividade de ataque. É fácil pensar que você não vai cair em um e-mail de phishing, mas os dados mostram que os e-mails maliciosos continuam sendo bem-sucedidos para os invasores. Melhor ser excessivamente cauteloso do que comprometido.”
Cargas
O software TraderTraitor é escrito usando código JavaScript com o ambiente de tempo de execução Node.js usando a estrutura Electron. Os aplicativos maliciosos são derivados de uma variedade de projetos de código aberto e fingem ser ferramentas de negociação de criptomoedas ou previsão de preços. Sites com aparência profissional geralmente são criados pelo grupo para anunciar seus aplicativos fraudulentos (Figura B).
Figura B
As agências também relatam que “as cargas observadas incluem variantes atualizadas do macOS e Windows do Manuscrypt, um trojan de acesso remoto personalizado que coleta informações do sistema e tem a capacidade de executar comandos arbitrários e baixar cargas adicionais”.
Depois que as cargas úteis estão em execução, leva menos de uma semana para que os invasores concluam suas atividades pós-comprometimento, que são adaptadas especificamente ao ambiente das vítimas.
Recomendações
As agências governamentais recomendam várias medidas para mitigar essa ameaça:
- Use a segmentação de rede para separar as redes em zonas com base em funções e requisitos.
- Execute um gerenciamento de patches eficiente para evitar ser comprometido por vulnerabilidades comuns. Priorize o patch de dispositivos voltados para a Internet.
- Exija autenticação multifator e garanta que os usuários alterem as senhas regularmente.
- Implemente mitigações de e-mail e domínio para detectar domínios recém-registrados frequentemente usados por agentes de ameaças. O protocolo HTML deve ser desabilitado em e-mails e anexos de e-mail devem ser verificados quanto a malware.
- Aplique a lista de permissões de aplicativos para impedir que softwares não autorizados sejam executados.
- Tenha um plano de resposta a incidentes para responder às ameaças de segurança cibernética.
Os usuários também devem permanecer cautelosos quando solicitados a fornecer sua frase de recuperação. Em nenhuma circunstância qualquer empresa solicitará isso, pois fornece acesso total às carteiras de criptomoedas. Caso persistam dúvidas, o usuário deve entrar em contato com seu departamento de TI ou segurança cibernética para receber a confirmação.
