Desde o início da invasão russa à Ucrânia, a Rússia tem utilizado diversas táticas, incluindo ciberataques, para obter vantagem. Agora, segundo investigadores do Computer Emergency Response Team of Ukraine (CERT-UA), hackers patrocinados pelo Estado russo, pertencentes ao grupo APT28, estão a atacar funcionários do governo ucraniano com malware disfarçado de atualizações do Windows para roubar informações importantes.
Os ataques consistem no envio de emails maliciosos com instruções sobre como atualizar o Windows como forma de defesa contra ciberataques. No entanto, em vez de instruções legítimas, o email contém um comando PowerShell que descarrega um script PowerShell. Este script simula uma falsa atualização do Windows enquanto, em segundo plano, descarrega uma segunda carga maliciosa: uma ferramenta que recolhe e envia dados para uma API do serviço Mocky através de um pedido HTTP.
Além disso, para tornar os emails maliciosos mais credíveis, os atacantes criaram endereços de email falsos do @outlook.com usando nomes reais de administradores de sistemas.
Para evitar que funcionários caiam nesta armadilha, o CERT-UA aconselha todos os administradores de sistemas a limitar a capacidade de executar o PowerShell em computadores críticos e a monitorizar o tráfego da rede em busca de conexões com a API do serviço Mocky.
Ucrânia, alvo constante de ciberataques
A guerra entre a Rússia e a Ucrânia já dura há mais de um ano, e esta não é a primeira vez que o grupo APT28, patrocinado pelo Estado russo, é associado a ciberataques contra a Ucrânia. Na verdade, o Threat Analysis Group da Google reportou recentemente que mais de 60% dos ciberataques e emails de phishing direcionados à Ucrânia tiveram origem na Rússia, sendo o APT28 responsável por uma parte significativa deles.
À medida que a guerra se prolonga e a Ucrânia mantém a resistência, é provável que a Rússia lance novas formas de ataque para enfraquecer as defesas ucranianas. Por isso, empresas e entidades governamentais devem treinar os seus funcionários para identificar e denunciar emails suspeitos e manter todo o software atualizado.
Outros artigos interessantes: