O FBI Avisa os Usuários sobre a Campanha de Ataque do Malware de Acesso Remoto Kwampirs à Cadeia de Suprimento
O FBI emitiu um alerta para os prestadores de serviços de saúde e outras indústrias sobre a ameaça contínua do malware Kwampir na cadeia de suprimentos.
Desde 2016, o FBI estava observando uma ameaça persistente avançada que executa uma campanha usando o Kwampirs, um Trojan de Acesso Remoto. As informações combinadas com as mensagens do Sistema de Ligação de Alerta do FBI (FLASH) visam aprimorar a 'postura pública de defesa da rede de parceiros públicos e privados'.
O FBI enviou alertas semelhantes a respeito do Kwampirs em janeiro e fevereiro de 2020, com a última lembrança dos desafios da pandemia do COVID-19. O Kwampirs RAT é um Trojan modular capaz de obter acesso a máquinas e redes. O principal objetivo do malware é obter acesso direcionado às empresas, bem como acompanhar as atividades de exploração, de acordo com o FBI.
Usando análise forense e vitimologia, o FBI seguiu a trilha de ataques e descobriu que eles eram direcionados à cadeia de suprimentos de software, saúde, engenharia e energia nos EUA, Europa, Ásia e Oriente Médio. As cadeias secundárias do ataque foram destinadas a escritórios de advocacia e instituições financeiras importantes.
O Kwampirs RAT não incorporou componentes ou módulos mais destrutivos, como um limpador, informou a agência. Usando análise forense comparativa, os agentes determinaram que a campanha apresentava algumas semelhanças com o Disttrack, um malware de limpeza de dados, também conhecido como Shamoon.
Índice
O Setor de Saúde está Se Tornando um Alvo
As advertências do FBI notaram que os ataques de Kwampirs eram direcionados a entidades globais de saúde, com metas que variavam entre os principais provedores de saúde transnacionais e organizações hospitalares locais. Durante as campanhas, o Kwampirs RAT realizava comunicações diárias de Comando e Controle com domínios maliciosos.
O início da campanha Kwampirs con seguiu acessar muitos hospitais em todo o mundo através da cadeia de suprimentos de software de fornecedores e hardware relacionado. Os fornecedores da cadeia de suprimentos de software infectados incluíram os produtos usados para gerenciar sistemas de controle industrial em hospitais.
Uma Ameaça Persistente
O malware da ameaça Kwampirs persiste durante a pandemia, uma vez que as organizações estão enfrentando os casos crescentes do surto do COVID-19. A necessidade de expansão do trabalho em casa cria uma situação totalmente nova e mais arriscada.
Em 2018, a empresa de segurança Symantec relatou que grandes empresas de assistência médica nos EUA, Europa e Ásia foram atacadas pelo backdoor Kwampirs, que veio do grupo conhecido como Orangeworm.
O Ataque em Duas Fases
O FBI observou que o malware Kwampirs usava duas fases de ataque, com a primeira estabelecendo uma presença ampla e persistente em uma rede direcionada. Isso inclui a entrega e execução de cargas secundárias de malware. A segunda fase inclui mais componentes do Kwampirs ou cargas maliciosas que exploram os hosts infectados.
O grupo APT estava usando o Kwampirs e conseguiu, com sucesso, persistir nas redes afetadas por até 3 anos. Ele implantou um módulo secundário que executa a coleta mais de dados.
Recomendações de Segurança do FBI
O FBI sugere várias práticas para reforçar a segurança de organizações e empresas e aumentar a sua defesa. Bloquear o acesso externo aos painéis de administração e nunca usar credenciais de login padrão é uma necessidade absoluta. Se as organizações detectarem a presença do Kwampirs RAT, o FBI recomenda que sejam tomadas medidas para coletar informações com a ajuda da investigação. As etapas das organizações incluem:
- Captura de imagem e memória dos hosts infectados
- Tráfego de rede no formato PCAP dos hosts infectados por 48 horas
- Logs de DNS e firewall
- Identificação e descrição de qualquer host que esteja se comunicando com os servidores de Comando e Controle
- Identificação do ponto de vetores de infecção e ataque