Portugal cai nas malhas da ciberameaça Ghoul

Chama-se Operação Ghoul e é uma nova onda de ataques online dirigidos a diferentes sectores em vários países de todo o mundo, entre os quais Portugal. São já três as vítimas registadas em organizações nacionais do setor industrial e manufatura.

Tudo se processa mediante a utilização de e-mails de phishing e malware em programas de spyware. Os hackers intercetam dados valiosos de empresas, que neste caso estavam armazenados nas suas redes.

No total, diz a Kaspersky que foram contabilizadas mais de 130 organizações de 30 países atingidos. Espanha, Paquistão, Emirados Árabes Unidos, Índia, Egito, Reino Unido, Alemanha e Arábia Saudita são outros dos países na lista.

Em junho de 2016, foi detetada uma nova onda de phishing que continha documentos malignos. Estas mensagens foram enviadas principalmente a administradores, quadros médios e intermédios de várias empresas. Os e-mails pareciam vir de um banco dos Emirados Árabes Unidos e simulavam um aviso de pagamento do banco com um documento SWIFT anexado, mas na realidade esse documento continha malware.

Diz a empresa de segurança que o mais provável é que a campanha de phishing tenha sido organizada por um grupo de hackers que os investigadores da organização já estavam a seguir desde março de 2015. Os ataques do mês de junho parecem ser a operação mais recente.

O malware presente nos documentos anexados baseia-se no software comercial de spyware HawkEye que se vende abertamente na Darkweb, e que oferece uma variedade de ferramentas aos hackers. Depois da instalação, recolhe os dados mais interessantes do computador da vítima, incluindo:

– DigitaçõesDados do escritório

– Credenciais para o servidor FTP

– Dados das contas dos utilizadores

– Dados das contas de clientes em programas de chat (Paltalk, Google Talk, AIM…)

– Dados das contas de clientes em e-mails (Outlook, Windows Live Mail …)

– Informação acerca das aplicações instaladas (Microsoft Office)

Em um documento enviado à imprensa, os técnicos da Kaspersky explicam que os dados são depois enviados aos servidores de controlo do ator-ameaça. A maioria das vítimas era organizações que trabalham nos setores industrial e de engenharia, como transporte, produtos farmacêuticos, manufatura, organizações de educação, etc. Todas estas empresas possuíam informação de relevo que poderia depois ser vendida no mercado negro.

 A Operação Ghoul, assim intitulada pela equipa da Kaspersky Lab, é apenas uma entre outras tantas campanhas do mesmo grupo.

“No antigo folclore, Ghoul é um espírito maligno associado ao consumo de carne humana e à caça de crianças, originalmente um demónio mesopotâmico. Hoje em dia, este termo é utilizado por vezes para descrever uma pessoa gananciosa ou materialista. Esta é uma descrição precisa do grupo que está por detrás da Operação Ghoul. A sua principal motivação é o benefício económico que é retirado da venda de propriedades intelectuais roubadas e inteligência de negócios, ou de ataques às contas bancárias das vítimas. Contrariamente aos atores dirigidos pelos Estados, que elegem cuidadosamente os objetivos, este e outros grupos semelhantes podem atacar qualquer empresa. Apesar de utilizarem ferramentas maliciosas bastante simples, são muito eficazes nos seus ataques. Assim, as empresas que não estão preparadas para detetar estes ataques acabam por sofrer muito com eles”, afirmou Alfonso Dominguez, diretor-geral da Kaspersky Lab Iberia. 

Como proteger?

Com o objetivo de proteger as empresas da Operação Ghoul, bem como de outras ameaças, os investigadores da Kaspersky Lab recomendam que as empresas implementem as seguintes medidas:

  • Educar os seus colaboradores, no sentido de estes serem capazes de distinguir um e-mail de phishing ou links de falsificação de identidade de e-mails reais;
  • Utilizar uma solução de segurança corporativa, que combine soluções dirigidas contra-ataque e que seja capaz de captar ataques mediante a análise de anomalias na rede;
  • Proporcionar aos seus colaboradores da área de segurança o acesso aos últimos dados de inteligência de ciber-ameaças, no sentido de prevenir e descobrir ataques dirigidos, como indicadores de regras e compromisso e Yara.