Especialistas do BlackBerry falaram sobre a descoberta de um grupo de hackers mercenários chamado CostaRicto.
Este é o quinto grupo de hackers mercenários identificado por especialistas este ano. Então, de volta na primavera, Especialistas do Grupo de Análise de Ameaças do Google avisou que o número desses grupos está crescendo, e no início deste ano, especialistas em segurança da informação já falaram sobre hackers contratados BellTrox (também conhecido como Bacia Negra), Perseguidor da Morte (também conhecido como Decepticon), Bahamut e um equipe de hackers sem nome.
Interessantemente, muitos grupos deste tipo acabaram por ser associados à Índia: BellTrox estava ligado a uma empresa indiana e Bahamut também é suspeito de conexões semelhantes. A respeito disso, o relatório do BlackBerry enfatiza especificamente que a origem e localização do CostaRicto ainda são desconhecidas.
Mas os especialistas descobriram que os hackers organizaram ataques em todo o mundo, inclusive em diferentes países da Europa, América, Ásia, Austrália e África. BlackBerry diz que o Sul da Ásia (especialmente a Índia, Bangladesh e Singapura) é o mais atingido pela CostaRicto.
O relatório do BlackBerry afirma que o grupo CostaRicto usa principalmente malware especialmente projetado e anteriormente desconhecido, mas ao mesmo tempo não utiliza métodos de ataque inovadores em suas operações. Por exemplo, a maioria de seus ataques em grupo gira em torno de credenciais roubadas ou spear phishing comum.
Esses e-mails maliciosos geralmente contêm um Trojan backdoor que o BlackBerry monitora como Sombra ou SombRAT.
Este Trojan fornece aos operadores CostaRicto acesso a hosts infectados, ajuda a detectar arquivos confidenciais neles e roubar documentos importantes. Os dados roubados geralmente são transmitidos ao servidor de controle do hacker, que está hospedado na darknet e é acessível apenas através do Tor. Além disso, hosts infectados geralmente se conectam a invasores’ servidores por meio de vários proxies e túneis SSH para ocultar o tráfego malicioso de olhares indiscretos.
Todas as amostras de malware da CostaRicto estudadas foram datadas de outubro 2019, embora outras evidências encontradas nos servidores da gangue sugiram que os hackers podem estar ativos desde pelo menos 2017.
O relatório também observa que os pesquisadores encontraram algumas semelhanças entre os ataques do CostaRicto e campanhas anteriores do grupo hacker de língua russa APT28., que está associado ao governo russo. No entanto, BlackBerry escreve que este “sobreposição” provavelmente foi um acidente.
Deixe-me lembrá-lo que recentemente Especialistas da Microsoft falaram sobre um ataque de hackers iranianos sobre os participantes de uma conferência de segurança.
