Dois anos fazendo transações financeiras ocultas

Descoberto pela empresa Sygnia, o grupo Elephant Beetle faz ataques baseados em Java e está operando há muito tempo sem ser detectado
Da Redação
06/01/2022

Um relatório de 33 páginas publicado ontem pela empresa israelense de segurança Sygnia, com a assinatura de sete dos seus especialistas, revela que um grupo de cibercriminosos está roubando há pelo menos dois anos as contas bancárias de pessoas e empresas em países da América Latina. Batizado com o nome de Elephant Beetle, o grupo, segundo o relatório, é muito hábil com ataques baseados em Java, e está operando há muito tempo sem ser detectado, estudando pacientemente os sistemas financeiros alvo, criando transações fraudulentas ocultas entre as atividades regulares e, por fim, roubando milhões de dólares dizem os especialistas. A maior parte das vítimas está nos setores de finanças e comércio, diz o documento.

Em muitos casos, o Elephant Beetle ataca aplicativos Java legados, em execução em máquinas Linux, fazendo delas seu meio de entrada inicial na rede. Para sua entrada, o grupo se aproveita de credenciais comprometidas, ou em explorações conhecidas para se infiltrar nos servidores externos. O acesso aos ativos comprometidos é obtido principalmente pelos shells da web do grupo e ferramentas Java, tanto personalizadas quanto de código aberto, que fornecem recursos de encapsulamento de pacotes TCP e solicitações HTTP. O grupo de ameaças se move lateralmente na rede, principalmente por meio de servidores de aplicativos da web e servidores SQL, aproveitando técnicas conhecidas, como APIs do Windows (SMB / WMI) e ‘xp_cmdshell’, combinadas com backdoors voláteis de execução remota customizada.

Veja isso
Hackers atacam servidor web IIS com falhas de desserialização
Fundação Linux corrige bug no kernel de execução de código

O Elephant Beetle, explicam os pesquisadores, opera em um padrão bem organizado e furtivo, executando com eficiência cada fase de seu plano de ataque, dividido em quatro etapas.

  1. Durante a primeira fase, que pode durar até um mês, o grupo se concentra na construção de recursos cibernéticos operacionais no ambiente comprometido. O grupo estuda o ambiente e planta backdoors enquanto personaliza suas ferramentas para trabalhar dentro do ambiente da vítima.
  2. O grupo então passa vários meses estudando o ambiente da vítima, concentrando-se na operação financeira e identificando eventuais falhas. Durante esse estágio, eles observam o software e a infraestrutura da vítima para entender o processo técnico das transações financeiras legítimas.
  3. O grupo então cria transações fraudulentas no ambiente. Essas transações imitam o comportamento legítimo e desviam quantias incrementais de dinheiro da vítima. Embora a quantidade de dinheiro roubado em uma única transação possa parecer insignificante, o grupo acumula com várias transações valores de milhões de dólares.
  4. Se qualquer atividade de roubo for descoberta e bloqueada, o grupo simplesmente ficará escondido por alguns meses apenas para retornar e mirar em um sistema diferente.

Com informações da assessoria de imprensa

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)