Pesquisadores de segurança da Kaspersky descobriram um novo grupo de cibermercenários que, segundo eles, presta serviços de hacking por quase uma década. Apelidado de “Deceptikons”, o grupo de ameaças persistentes avançadas (APTs) não é particularmente sofisticado do ponto de vista técnico e não é conhecido por ter implantado nenhuma ameaça de dia zero durante esse período de pandemia, diz a fornecedora de antivírus russa em um relatório geral referente ao segundo trimestre.
“O conjunto de infraestrutura e malware do Deceptikons é inteligente, e não tecnicamente avançado. Também é altamente persistente e, de várias maneiras, nos lembra o WildNeutron [um poderoso agente de ameaça]”, afirma a empresa.
Também conhecido como Jripbot e Morpho, o WildNeutron ficou famoso em 2013 por atacar empresas privadas, principalmente Apple, Facebook, Twitter e Microsoft. Os operadores de ameaças por trás do grupo foram notados pelo cuidado que tiveram em ocultar o comando e o controle de servidores (C&C) e recursos especiais incorporados para ajudar na recuperação de qualquer tentativa de desligamento desses servidores.
Veja isso
Grupo hacker Lazarus volta atacar com nova estrutura de malware
Grupo hacker fatura mais de US$ 1,5 milhão vendendo acesso a redes
Como o WildNeutron, o Deceptikons é incomum para os grupos de APT, concentrando-se em alvos comerciais e não governamentais. “Em 2019, o Deceptikons lançou ataques a um conjunto de escritórios de advocacia europeus, implantando scripts do PowerShell, ferramenta multiplataforma, disponível para Windows, Linux e Mac, voltada para automação e configuração de sistema via scripts. Como nas campanhas anteriores, o operador da ameaça usou arquivos com extensão .LNK modificados que exigem interação do usuário para comprometer inicialmente os sistemas e executar uma backdoor do PowerShell”, explica a Kaspersky.
A empresa diz que, com toda a probabilidade, as motivações do grupo incluíam a obtenção de informações financeiras específicas, detalhes de negociações e talvez até evidências da clientela dos escritórios de advocacia.
Grupos de hackers contratados representam uma ameaça diferente, mas não menos imediata para as organizações do que os agentes patrocinados pelo Estado. Em alguns casos, eles buscam objetivos governamentais e comerciais. Em junho, o Citizen Lab descobriu uma grande operação contra jornalistas, grupos de direitos humanos, funcionários do governo, instituições financeiras e outros, aparentemente orquestrados por uma empresa de tecnologia indiana.
A mera presença do grupo hacker Dark Basin, bem como o Deceptikons e grupos como estes, indica que há um mercado próspero na terceirização da atividade de ciberespionagem.
