Criminosos nigerianos de phishing direcionam ataques para indústrias
De acordo com relatório da Kaspersky Lab, os invasores roubaram projetos e planos operacionais de empresas de metalurgia, energia elétrica, construção, engenharia e de outros setores.
Os agentes responsáveis por uma recente onda de ataques de phishing e interceptação de pagamentos em companhias industriais também têm roubado projetos e planos de operações das vítimas, assim como diagramas de redes elétricas e de informações, segundo um relatório da Equipe de Resposta a Emergências Cibernéticas em Sistemas de Controle Industrial da Kaspersky Lab. Os ataques de comprometimento de e-mail empresarial (BEC, Business Email Compromise), frequentemente vinculados à Nigéria, sequestram contas corporativas legítimas, na qual os invasores podem monitorar para interceptar ou redirecionar transações financeiras.
Em outubro de 2016, os pesquisadores da Kaspersky Lab observaram um aumento significativo no número de tentativas de infecção por malware visando clientes industriais. Eles identificaram mais de 500 companhias atacadas em 50 países, principalmente indústrias dos setores de metalurgia, energia elétrica e construção, bem como grandes corporações de logística e transporte. Os ataques continuam.
Pesquisa revela evolução do cibercrime na Nigéria
A sequência do ataque começa com um e-mail de phishing cuidadosamente elaborado para parecer vir de fornecedores, clientes, organizações comerciais e serviços de entrega. Os invasores usam um malware pertencente a pelo menos oito famílias diferentes de cavalos de Troia espiões e backdoor, todos disponíveis por um preço baixo no mercado negro e projetados primariamente para roubar dados confidenciais e instalar ferramentas de administração remota nos sistemas infectados.
Nos computadores corporativos infectados, os invasores fazem capturas de tela da correspondência ou redirecionam mensagens para suas próprias caixas de correio para poder procurar por transações interessantes ou lucrativas. Depois, o pagamento é interceptado por um ataque clássico do tipo “man-in-the-middle”, substituindo as informações da conta em uma fatura legítima do vendedor pelas dos invasores. Pode ser difícil para a vítima identificar a substituição antes que seja tarde demais e seu dinheiro tenha sido roubado.
O perfil do invasor
Quando os pesquisadores extraíram os endereços de comando e controle (C&C) dos arquivos maliciosos, descobriram que, em alguns casos, os mesmos servidores foram usados com malware de famílias diferentes. Isso sugere que há apenas um grupo criminoso por trás de todos os ataques e que usa malwares diferentes ou há vários grupos que trabalham em colaboração e compartilham recursos.
Os pesquisadores também descobriram que a maioria dos domínios foi registrada por residentes da Nigéria.
Fonte:ipnews