Pesquisadores de segurança descobriram recentemente um novo servidor “hospeda um grande estoque de arquivos maliciosos”.
A análise mostra que os atores maliciosos estão alvejando um número de organizações com a ajuda de um servidor de comando e controle. Este servidor está hospedando amostras de ransomware e PoS malwares, entre outros.
A análise realizada pela Cisco Talos pesquisadores mostra que os atacantes eram “capazes de obter um profundo nível de acesso às vítimas’ a infraestrutura". A equipe de pesquisa também identificou vários dos alvos, incluindo uma empresa de fabricação americana.
Os pesquisadores descobriram “uma grande variedade de arquivos maliciosos no servidor, variando de ransomware como o DopplePaymer, no cartão de crédito malwares captura como os TinyPOS, bem como alguns carregadores que executam código entregues diretamente a partir do comando e controle (C2).”
A diversidade de dados localizados neste servidor mostra como atores de ameaças pode direcionar uma grande variedade de organizações usando a mesma infra-estrutura. As ferramentas e abordagens maliciosos revelar um adversário engenhoso e sofisticado, quem tem "uma infra-estrutura generalizada compartilhados entre diferentes operações.”
Dois alvos identificados
Dois alvos recentes deste adversário engenhoso foram identificados durante a análise do servidor de comando e controle. A organização primeiro alvo é um fabricante de grades de alumínio e de aço com sede nos Estados Unidos. Esta empresa foi alvo de ransomware.
Para a identificação do segundo alvo, os pesquisadores implantado um despejo de processo. Contudo, detalhes sobre a organização vitimado não foram revelados no relatório.
Em conclusão, a análise revela um ator de ameaça sofisticada capaz de comprometer uma variedade de organizações, usando amostras diferentes maliciosos. Um dos alvos Os investigadores identificaram foi atacado por ransomware, mas o ator ameaça também pode roubar dados de cartão de crédito via PoS malwares.
Com base nas descobertas até agora, parece que o atacante está preferindo pequenas e médias empresas no setor industrial. Durante a investigação, os pesquisadores entraram em contato com várias vítimas em potencial para garantir que eles poderiam remediar.
Este é um bom exemplo de como um atacante pode ser diverso durante a sua utilização da infra-estrutura e seu uso de diferentes ferramentas, técnicas e procedimentos (TTPs), Os pesquisadores concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: