GreyEnergy

Acredita-se que o GreyEnergy APT (Ameaça Persistente Avançada) seja o sucessor do grupo de hackers amplamente destrutivo conhecido como BlackEnergy APT. Há várias razões pelas quais os especialistas em segurança cibernética acreditam que esses dois grupos de hackers estejam relacionados:

• O grupo de hackers GreyEnergy surgiu na mesma época em que o BlackEnergy APT desapareceu do mundo do crime cibernético.
• Os APTs GreyEnergy e BlackEnergy tendem a operar com ferramentas de hackers leves e flexíveis, que são modificadas e controladas facilmente.
• A maioria dos esforços de ambos os grupos de hackers está concentrada na Polônia e na Ucrânia.
• Ambos tendem a visar setores críticos, como instituições industriais ou relacionadas à energia.
• A infraestrutura construída e usada pelo GreyEnergy e pelo BlackEnergy APT parece estar intimamente relacionada.

Mudança de abordagem

No entanto, os indivíduos que parecem estar por trás desses dois grupos de hackers parecem ter mudado de tática. Na maioria das vezes, o BlackEnergy era conhecido por suas tendências muito destrutivas e parecia se importar pouco em esconder seus rastros ou se deitar no fundo do poço. Isso contrasta totalmente com a abordagem adotada pelo GreyEnergy APT. Eles têm muito mais cuidado em permanecer sob o radar dos pesquisadores de malware, e as ameaças que eles propagam são menos barulhentas e destrutivas. Observou-se que muitas das campanhas realizadas pelo grupo GreyEnergy envolvem um mini-Trojan backdoor, que é usado como uma porta de entrada para os atacantes plantarem uma ameaça mais potente no host infiltrado. Para garantir que suas ameaças operem o mais silenciosamente possível, o GreEnergy APT vem utilizando malware sem arquivo. Além disso, o grupo de hackers da GreyEnergy vem trabalhando em vários 'limpadores de malware'. Essas ferramentas permitem que os operadores de malware apaguem qualquer vestígio de atividade prejudicial que possa permanecer no sistema da vítima.

No passado, o grupo BlackEnergy pretendia causar estragos, enquanto o GreyEnergy APT, hoje operacional, concentra-se principalmente em campanhas de espionagem. Depois que o grupo GreyEnergy se infiltra em um sistema, é provável que eles permaneçam em baixo e colete informações do host por meio de gravação de teclas, tirando capturas de tela da área de trabalho, transferindo arquivos de interesse, coletando documentos, coletando documentos, coletando credenciais de login e outros dados. Às vezes, em vez de usar ferramentas de hackers desenvolvidas em particular, o GreyEnergy APT utilizava aplicativos genuínos publicamente disponíveis, como Mimikatz, WinExe, PsExec, Nmap, etc.

É interessante ver um grupo de hackers mudando de tática de maneira tão radical. A adoção de uma abordagem muito mais silenciosa provavelmente foi feita para que os indivíduos envolvidos nisso pudessem continuar suas operações e minimizar as chances de serem pegos pelas autoridades. Continuaremos a ouvir sobre as atividades do GreyEnergy APT no futuro, provavelmente.