Como se previa as empresas de energia elétrica são alvos de malware

Symantec descobriu uma campanha de espionagem cibernética alvo empresas de energia em todo o mundo, infectando-os com um novo malware apelidado Laziok trojan.

Os especialistas em segurança da Symantec descobriram um novo espionagem cibernética campanha que teve como alvo a  indústria de energia . Os atores de ameaça por trás da campanha usado usa um malware apelidado Laziok trojan desenvolvido sob medida para exfiltrate dados confidenciais de empresas de energia em todo o mundo. O United Emerates árabe foi o país com o maior número de infecções (25%), seguida pela Arábia Saudita (20%), Paquistão (10%) e Kuwait (10%).

Laziok infecção-graph

Trojan. Laziok foi projetado para actividades de reconhecimento, coleta de dados em sistemas de destino, incluindo o nome da máquina, software antivírus instalado, aplicativos instalados, CPU e GPU detalhes, tamanho da memória RAM e tamanho do disco rígido.

"Entre janeiro e fevereiro, observamos, uma campanha de ataque direcionado multi-encenado contra empresas de energia em todo o mundo, com foco no Oriente Médio. Esta campanha de ataque usado um novo ladrão de informações, detectado pela Symantec como Trojan.Laziok . Laziok atua como uma ferramenta de reconhecimento permitindo que os atacantes para reunir dados sobre os computadores comprometidos. ", afirma um  post publicado pela Symantec.

Os dados coletados pelo Trojan.Laziok são usados ​​por atores ruins para ajustar o ataque contra as empresas visadas, a informação ajudar os atacantes para decidir qual o uso de malwares para romper os sistemas. Os operadores por trás da campanha maliciosos usados ​​outros tipos de malware para direcionar seus ataques contra empresas específicas, os atacantes utilizado versões do Backdoor.Cyberat e Trojan.Zbot para infectar sistemas com configurações específicas.

"A informação detalhada permite que o atacante de tomar decisões cruciais sobre como prosseguir com o ataque, ou para parar o ataque. Durante o curso de nossa pesquisa, descobrimos que a maioria dos alvos foram ligados às indústrias de petróleo, gás e hélio, o que sugere que quem está por trás desses ataques podem ter um interesse estratégico nos negócios das empresas afectadas ".

As partidas de cadeia ataque com um spear phishing ataque, os e-mails usados ​​por hackers vêm das moneytrans [.] domínio eu, que atua como um servidor de retransmissão aberta Simple Mail Transfer Protocol (SMTP). Os e-mails contêm um anexo, normalmente na forma de um arquivo de Excel, que explora uma vulnerabilidade do Microsoft Windows conhecido remendado em 2012 e que foi aproveitada pelos atores por trás de ameaças Outubro Vermelho  e  CloudAtlas campanhas.

"Esses emails incluem um anexo malicioso embalado com um exploit para o Microsoft Windows Common Controls ActiveX Control remota de código Vulnerabilidade de Execução ( CVE-2012-0158 ). Essa vulnerabilidade foi explorada em muitas campanhas de ataque diferentes no passado, como a Red October . ", explica o Symantec.

Os peritos confirmaram que maus atores que usavam o malware Trojan.Laziok para direcionar as empresas de energia não adoptaram sofisticada técnica de hacking, o inquérito demonstrou que eles exploraram apenas uma vulnerabilidade antigo usando exploit kits fáceis de encontrar no mercado clandestino . No entanto, muitas pessoas ainda não conseguem aplicar as correções para vulnerabilidades que são vários anos de idade, deixando-se aberto a ataques deste tipo. Do ponto de vista do atacante, que nem sempre precisa ter as mais recentes ferramentas à sua disposição para ter sucesso. Tudo o que precisa é de um pouco de ajuda do usuário e um lapso em operações de segurança por ser impossível corrigir.

Como de costume, deixe-me sugerir-lhe manter seus sistemas seguros através da aplicação de patches de segurança para vulnerabilidades.

trojan laziok-diagrama

Pierluigi Paganini