Eset descobre ligações entre dois dos maiores ataques à segurança cibernética global

A Eset, empresa de detecção proativa de ameaças, descobriu evidências que revelam uma relação entre o conhecido grupo de cibercriminosos TeleBots e o malware mais poderoso destinado a infraestruturas críticas descoberto até o momento, o Industroyer, que foi responsável pelos cortes no fornecimento de eletricidade da principal região da Ucrânia em 2016.

O grupo de cibercriminosos TeleBots já demonstrou seu potencial com outra de suas criações, o NotPetya, um malware que apaga seções específicas do disco rígido, inutilizando o computador. O malware, simulando ser um ransomware, interrompeu a atividade de empresas em escala mundial em 2017. Da mesma forma, um grupo de cibercriminosos organizados parece estar ligado ao BlackEnergy, outro malware destinado a atacar infraestruturas críticas, que já causou interrupções no sistema elétrico ucraniano em 2015 (antecipando as intenções do que aconteceria um ano mais tarde em maior escala com Industroyer).

“As especulações sobre a conexão entre Industroyer e o grupo TeleBots surgiram pouco depois que o malware atingiu a Ucrânia”, explica o pesquisador da Eset Anton Cherepanov, encarregado de conduzir pesquisas sobre o Industroyer e o NotPetya. “No entanto, nenhuma evidência entre os dois foi publicamente reconhecida até agora”.

Em abril de 2018, a Eset descobriu as novas atividades do grupo de criminosos cibernéticos ao desenvolver um novo backdoor, o Exaramel. Os analistas apontaram que esse backdoor era uma versão melhorada do Industroyer e, portanto, a primeira evidência da conexão entre o grupo e esse ataque.

“A descoberta do Exaramel demonstra que o grupo TeleBots permanece ativo hoje e os atacantes continuam melhorando suas ferramentas e táticas”, diz Cherepanov. “Prosseguimos monitorando sua atividade para proteger nossos usuários”, conclui o pesquisador.