Sophisticated ‘MoneyTaker’ group stole millions from Russian & US banks

By Wagas  em 12/12/2017 no site HackRead

The IT security researchers at Moscow based cybercrime prevention firm Group-IB has identified the presence of a dangerous and sophisticated group of cybercriminals that has so far stolen more than $10 million from banking and financial sectors.

Dubbed MoneyTaker by researchers, the group has in last 18 months conducted 20 successful attacks in Russia, United Kingdom, and the United States. The group targeted card processing systems like AWS CBR (Russian Interbank System) and purportedly SWIFT (SWIFT international bank messaging service in the United States.

On average, MoneyTaker stole a whopping $3 million from three Russian financial institutions while a sum of $500,000 was stolen from banks in the United States. But, the group is not limiting itself to money or banking sector, in fact, MoneyTaker also targeted financial software vendors and law firms.

“Criminals stole documentation for OceanSystems’ FedLink card processing system, which is used by 200 banks in Latin America and the US,” says the report compiled by Group-IB.

Researchers confirmed that MoneyTaker targeted 20 companies with 1 in the UK, 3 in Russia and 16 in the US. All those attacks went unreported and undetected since the group used publically available tools for the operations.

“MoneyTaker uses publicly available tools, which makes the attribution and investigation process a non-trivial exercise. In addition, incidents occur in different regions worldwide, and at least one of the US Banks targeted had documents successfully exfiltrated from their networks, twice. Group-IB specialists expect new thefts in the near future and in order to reduce this risk, Group-IB would like to contribute our report identifying hacker tools, techniques as well as indicators of compromise we attribute to MoneyTaker operations,” said Dmitry Volkov, Group-IB Co-Founder and Head of Intelligence.

However, MoneyTaker first caught the attention when Group-IB’ researchers tracked the group’s activities after it stole money from a US bank in 2016 by gaining access to First Data’s “STAR” network operator portal.

“In 2016, Group-IB identified 10 attacks conducted by MoneyTaker; 6 attacks on banks in the US, 1 attack on a US service provider, 1 attack on a bank in the UK and 2 attacks on Russian banks. Only one incident involving a Russian bank was promptly identified and prevented that is known to Group-IB.”

“In 2017, the number of attacks has remained the same with 8 US banks, 1 law firm and 1 bank in Russia being targeted. The geography, however, has narrowed to only the USA and Russia.”

Furthermore, researchers noted links between all 20 attacks conducted by the group in 2016 and 2017 including using the same tools, similarly distributed infrastructure, one-time-use components in the attack toolkit and spying on the target after a successful attack.

To evade detection, the group uses fileless malware, and SSL certificates generated using names of popular institutions such as Microsoft, Yahoo, Bank of America, Federal Reserve Bank, and Microsoft. Moreover, MoneyTaker uses a distributed infrastructure and delivers payloads to the victim with IP addresses in MoneyTaker’s whitelist.

MoneyTaker takes advantage of borrowed and self-written tools such as it developed an application equipped with keylogging and screenshot capabilities. The app can take screenshots and capture keystrokes from a targeted device and steal content.

To take full control of the operation, MoneyTaker uses a Pentest framework Server. On it, the hackers install a legitimate tool for penetration testing – Metasploit. The group uses Metasploit to conduct following activities:

1 Network reconnaissance

2. search for vulnerable applications

3. exploit vulnerabilities

4. escalate systems privileges

5. collect information

Another astonishing discovery by Group-IB researchers regarding MoneyTaker is that it uses privilege escalation tools based on codes presented at the Russian cybersecurity conference ZeroNights 2016. In some attacks, the group used Citadel and Kronos banking Trojans. In this case, Kronos was used to deliver Point-of-Sale (POS) malware dubbed ScanPOS.

Remember, in August this year, FBI arrested WannaCry hero Marcus Hutchins for “creating and distributing Kronos banking trojan.” Kronos stole banking credentials from around the world but primarily targeted the United Kingdom and North Ameri

US Identifies 6 Russian Government Officials Involved In DNC Hack

 Swati Khandelwal em 02/11/2017 no site The Hacker Newa.

The United States Department of Justice has reportedly gathered enough evidence to charge at least six Russian government officials for allegedly playing a role in hacking DNC systems and leaking information during the 2016 presidential race.

Earlier this year, US intelligence agencies concluded that the Russian government was behind the hack and expose of the Democratic National Committee (DNC) emails in order to influence the 2016 presidential election in Donald Trump's favour.

Now, citing people familiar with the investigation, the Wall Street Journal reported on Thursday that United States federal prosecutors could bring charges against the alleged unnamed Russian officials early next year.

The US federal intelligence investigators also believe that "dozens" of other Russian officials may have also participated in the DNC hack, which was allegedly ordered by Russian President Vladimir Putin himself.

However, both Putin and Russian government officials have denied allegations.

The DNC computer system hack last year led to thousands of stolen DNC emails, including personal and sensitive emails from Hillary Clinton campaign manager John Podesta, appeared on whistleblowing website WikiLeaks.

In a separate forensic investigation conducted by FireEye incident response firm Mandiant identified hacking tools and techniques used in the DNC hack associated with Fancy Bear—also known as APT28, Sofacy, Sednit, and Pawn Storm—a state-sponsored hacking group believed to be a unit of Russian Military Intelligence (the GRU).

U.S. federal agents and prosecutors in Washington, Pittsburgh, Philadelphia and San Francisco have been cooperating with the DNC investigation. However, none of them has revealed the actual identity of the six suspects.

However, even after getting charged, the Russian officials or hackers will hardly be prosecuted in the United States until they enter the US soil because the country has no extradition agreement with Russia.

This is the second time in this year when the United States has charged Russian officials with cyber crimes.

In March 2017, the DoJ charged two Russian intelligence officers—Dmitry Aleksandrovich Dokuchaev and Igor Anatolyevich Sushchin—and two criminal hackers—Alexsey Alexseyevich Belan and Karim Baratov—in connection with the 2014 Yahoo hack that exposed about 500 million Yahoo user accounts.

However, no one has ever seen the insides of a United States courtroom.

Hackers russos teriam roubado dados sobre defesa cibernética da NSA, segundo fontes

Da Redação

05 de Outubro de 2017  no site Computerworld

Hackers que trabalham para o governo russo roubaram informações que detalhando como os EUA penetram nas redes de computadores estrangeiras e se defendem contra ataques cibernéticos. O The Wall Street Journal informa que os hackers roubaram os documentos depois que um profissional contratado da Agência de Segurança Nacional dos EUA (NSA), acessou o material classificado como informação confidencial e salvado em seu computador. O jornal cita como fontes várias pessoas com conhecimento sobre o assunto.

Segundo a notícia, os hackers parecem ter orientado o profissional contratado depois de terem identificado os arquivos por meio de um popular software antivírus fabricado pela Kaspersky Lab, empresa de segurança cibernética com sede na Rússia, disseram as fontes.

O roubo, que teria sido descoberto no segundo trimestre deste ano, ocorreu em 2015 e as fontes ouvidas pelo diário americano disseram que as informações que foram roubadas podem ajudar as autoridades russas sobre como proteger suas redes contra a NSA e, possivelmente, como entrar nas redes dos EUA. Falhas de segurança: Veja com a SONDA o que fazer para identificar e minimizar riscos Patrocinado 

A NSA não confirmou a violação, e a Kaspersky Lab disse ao The Wall Street Journal que "não recebeu nenhuma informação ou evidência que comprovasse esse suposto incidente e, como resultado, devemos assumir que este é outro exemplo de uma acusação falsa ".

A Kaspersky e seu software foram um dos principais focos de investigações do governo dos EUA no ano passado, após a polêmica envolvendo a possível interferência de hackers russos nas eleições presidenciais dos Estados Unidos. Em junho, o Senado dos EUA propôs um projeto de lei que proibiria o Departamento de Defesa de usar o software da Kaspersky e um comitê da Câmara dos Representantes começou a examinar o uso de vários produtos da empresa por companhias norte-americanas. Em agosto, os relatórios do FBI alertaram as empresas contra o uso do software da Kaspersky, que a Best Buy parou de vender no mês passado. Recentemente, o governo dos EUA proibiu o uso do software em todas as agências federais.

Seis passos para a empresa evitar ser vítima do Petya

Da Redação CIO 

Publicada em 27 de junho

No início da tarde desta terça-feira (27), mais uma vez, empresas de vários países do mundo foram infectadas por ransomwares. Desta vez, uma nova variante do ransomware Petya, chamada de Petwrap, que, assim como o WannaCry, tira proveito de uma vulnerabilidade no Windows.

Para o CEO da iBLISS Digital Security, Leonardo Militelli, a nova onda de ataques mostra que muitas empresas ainda não aprenderam a importância de contar com processos consistentes de segurança da informação, especialmente quando o assunto é a atualização de sistemas.

O gerente sênior de cibersegurança da EY, Luiz Milagres, concorda. "O principal aliado de um criminoso cibernético é a complacência. Seja uma grande multinacional ou uma empresa familiar, o sucesso de um ataque está associado às pessoas, tecnologias e procedimentos preventivos que são adotados e seguidos para reduzir o risco de sucesso dos invasores nestes cenários", diz.

E alerta que os ataques de hoje provam que os cibercriminosos estão se tornando mais agressivos e sofisticados visando simultaneamente o maior número de organizações, afirma Luiz Milagres, gerente sênior de cibersegurança da EY.

Características do ataque

O Petya vai além dos ransomwares tradicionais, pois criptografa, de uma só vez, partes inteiras do HD, impedindo que o usuário acesse até mesmo o Windows. Então exibe uma mensagem para explicar à vítima que seus arquivos estão criptografados e pede o pagamento de US$ 300 em bitcoins.

Ele tira proveito da mesma vulnerabilidade que o WannaCry usou, em maio de 2017, para infectar mais de 300 mil sistemas e servidores ao redor do mundo em apenas 72 horas, conhecida como Eternal Blue. A falha de segurança foi descoberta pela NSA e vazada por um grupo hacker conhecido como The Shadow Brokers.

De acordo com o professor Kevin Curran, membro sênior do IEEE e professor na Universidade de Ulster, o Petya lança mão de um certificado falso que geralmente é usado como uma ferramenta interna na Microsoft. Tem uma carga útil chamada PetyaWrap, que mantém o refém de dados até que os usuários paguem US $ 300 em Bitcoin. A segunda carga útil extrai nomes de usuário e senhas de computadores comprometidos e envia os dados para os atacantes. Isso garante que, enquanto um computador infectado for inoperável devido ao ransomware, os invasores ainda podem ter acesso a qualquer credencial sensível no sistema.

Uma diferença fundamental do WannaCry é que o Petya não simplesmente criptografa arquivos de disco, mas bloqueia o disco inteiro para que nada possa ser executado. Ele faz isso criptografando a tabela de arquivos mestre do sistema de arquivos para que o sistema operacional não possa recuperar arquivos.

 

Mas parece ter a mesma característica de replicação mortal do WannaCry, que permite que ele se espalhe rapidamente por uma rede interna infectando outras máquinas. Parece também encontrar senhas em cada computador infectado e usar aqueles para se espalhar também. Parece não haver nenhum interruptor de matar nesta ocasião.

O núcleo da vulnerabilidade reside em uma fraqueza na implementação do Server Message Block (SMB), que é o protocolo de transporte usado pelas máquinas Windows para uma ampla variedade de propósitos, como compartilhamento de arquivos e impressoras e acesso a serviços remotos do Windows. O ataque usa a versão SMB 1 e a porta TCP 445 para se propagar. 

A característica mais assustadora e poderosa deste malware é a capacidade de executar varreduras de rede na porta TCP 445 (SMB) e comprometer outras máquinas. O resultado é a criptografia de arquivos e a demanda de um pagamento de resgate na forma de Bitcoin. Ele também instala um backdoor persistente para acessar e executar o código em sistemas previamente comprometidos. Isso permite a instalação e ativação de software adicional, como o malware. Este novo ataque também está usando a ferramenta PsExec para espalhar a infecção executando códigos maliciosos em outros computadores.

"Este ataque possui uma tática diferente dos anteriores. Nas outras versões do ransomware, conforme pode-se perceber, havia o relógio em contagem regressiva ou uma remoção gradual de arquivos. Normalmente a maior perda eram os dados. No entanto, no caso do Petya, que altera o Master Boot Record, o risco é perder todo o sistema. Além disso, o sistema é reiniciado em um ciclo de uma hora, adicionando um outro elemento de negação de serviço ao ataque", explica Aamir Lakhani, estrategista sênior de Segurança da Fortinet.

Curiosamente, além das vulnerabilidades do Microsoft Office, o Petya usa o mesmo vetor de ataque que o WannaCry, explorando as mesmas vulnerabilidades da Microsoft que foram descobertas pelo Shadow Brokers no início deste ano. "Porém, como foram usados vetores de ataque adicionais nesta exploração, somente a correção não teria sido adequada para interromper esta exploração por completo, isso significa que a correção deve ser combinada com boas ferramentas e práticas de segurança. Os clientes da Fortinet, por exemplo, estão protegidos de todos os vetores de ataque, pois foram detectados e bloqueados pelas nossas soluções ATP, IPS e NGFW. Além disso, nossa equipe de AV emitiu uma nova assinatura de antivírus algumas horas após a descoberta para melhorar a defesa", escreve Lakhani em artigo distribuído para a imprensa.

O especialista da Fortinet lembra ainda que, de uma perspectiva financeira, o vírus Wannacry não teve muito sucesso. Gerou muito pouca receita para seus desenvolvedores, em parte porque os pesquisadores conseguiram interromper e desativar o ataque. Porém, o ataque do vírus Petya é muito mais sofisticado, embora ainda não se saiba se terá mais sucesso em termos financeiros que o ataque anterior.

Como se defender

Apesar de a Microsoft já ter liberado um correção para o problema em todas as versões do Windows, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.

“O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos”, explica Militelli.

“A falta de processos está fazendo novas vítimas. Enquanto as empresas não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas”, explica.

Especialistas de cibersegurança da Ernst & Young orientam as empresas em todo o mundo a tomarem medidas imediatas para prevenção e mitigação do efeito desses crimes.

De acordo com eles, há seis medidas que as organizações podem tomar imediatamente para ajudar a proteger seus dados e sistemas – os ativos mais valiosos e de seus clientes - ao mesmo tempo em que minimizam os possíveis danos causados por outras ameaças:

1 - Desconecte as máquinas infectadas da rede e segregue as máquinas de backup porque também podem ficar criptografados se forem conectados à rede.

2 - Ative seu plano de resposta a incidentes e não trate a investigação como um mero problema ou exercício de TI. Reúna um time multifuncional na equipe de investigação, incluindo jurídico, compliance, segurança da informação, administrativo, relações públicas, recursos humanos e outros departamentos relevantes.

3 – Identifique as vulnerabilidades em seu sistema. Instale atualizações de segurança, detecção de malwares e detecção de vírus para dificultar recorrências e melhorar as ferramentas de detecção e resposta para futuros ataques.

4 - Certifique-se de que seus sistemas estejam corrigidos antes de reconectar os computadores. Mantenha os sistemas atualizados com um programa de gerenciamento de vulnerabilidades de alto nível. Isso deve incluir um ciclo de repetições para gerenciar vulnerabilidades com base em riscos à medida que eles evoluem e um modelo de amplo e atualizado de inventario, pontuando o nível de risco de aposição de cada item e sua conectividade com outros dispositivos.

5 – Ative o plano de continuidade do negócio. Utilize como base os requisitos necessários para relatórios regulatórios, reivindicação de seguros e disputas, litígios, inteligência de ameaças e/ou notificação de clientes.

6 – Colete e preserve as evidências, seguindo o rigor forense necessário, de maneira possam ser usadas em uma investigação.

"O sequestro de dados exige um plano de contingência e de resposta rápido. Mesmo depois que os dados são restaurados, as empresas às vezes enfrentam problemas na recuperação de informações sensíveis que foram comprometidas no ataque. Clientes, fornecedores e demais stakeholders podem exigir que a empresa demonstre de forma forense que, mesmo que os dados tenham sido acessados, nada foi perdido por completo”, alerta Sergio Kogan, gerente sênior de cibersegurança da EY.

Observar a cibersegurança como prioridade do negócio, auxilia na mitigação dos riscos das empresas no ambiente digital, permitindo conhecer o nível de exposição e riscos associados e facilitar a tomada de decisão dos executivos.

“Para prevenção e segurança dos dados é recomendável que as empresas redobrem a atenção para a criação de processos maduros, principalmente para gestão de vulnerabilidade, gestão de mudança e gestão de patches, incluindo uma revisão de processos e políticas de backup, resposta a incidentes, e continuidade de negócio, além de identificar os ativos mais importantes da empresa e monitorar de forma proativa com a realização de testes do programa de segurança com exercícios de Red Team e/ou testes de invasão. Realize um monitoramento tempestivo de infraestrutura crítica ao negócio e planos de conscientização junto aos colaboradores e faça uma gestão estratégica de cibersegurança, com processos, pessoas e tecnologias”, conclui Demétrio Carrión, sócio de cibersegurança da EY.

Pesquisa recente da EY mostra que a vulnerabilidade das empresas brasileiras é grande. A maioria não possui um programa formal de inteligência contra ameaças (81%) e não dispõem de um centro de operações de segurança (63%). Quase a metade delas já teve um incidente cibernético no ano passado (45%), mas apenas 28% aumentaram seus orçamentos no último ano.

Principais impactos do ataque

Até o momento, o país mais afetado pela onda de ataques do ransomware Petya foi a Ucrânia, que teve sistemas de bancos, de metrô e do aeroporto de Kiev comprometidos. Entre as empresas afetadas no país estão as fornecedoras de energia elétrica Kyivenergo e Ukrenergo, o National Bank of Ukraine (NBU), Oschadbank, e as organizações do setor de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A ameaça também impactou múltiplas estações de trabalho da unidade ucraniana da empresa de mineração Evraz.

O ransomware também afetou fornecedores de energia elétrica e bancos em países como Rússia, Espanha, Reino Unido e Índia, incluindo a gigante petrolífera russa Rosneft e a empresa internacional de logística Maersk.

Outras companhias que disseram ter sido afetadas por um ataque cibernético incluem a gigante de metais russa Evraz, a empresa de materiais de construção francesa Saint Gobain, a gigante do transporte A.P. Moeller-Maersk, a gigante farmacêutica Merck & Co. e a empresa petrolífera russa Pao Rosneft relataram ataques aos seus sistemas nesta terça-feira. A agência de publicidade britânica WPP disse que seus sistemas de TI também foram interrompidos como consequência do mega-ataque. Além disso, a usina nuclear de Chernobyl também relatou que teve que monitorar os níveis de radiação manualmente depois que seus sensores baseados no Windows foram desligados.

Há poucos dados ainda sobre a quantidade de sistemas que já foram infectados pelo ransomware Petya nas últimas horas, mas especula-se que o ransomware possa ter uma extensão maior que a do WannaCry.

Pesquisadores de segurança da Kaspersky Lab dizem ter registrado mais de 45 mil ataques em 99 países, incluindo Reino Unido, Rússia, Ucrânia, Índia, China, Itália e Egito. Na Espanha, as grandes empresas, incluindo a operadora de telefonia Telefónica, foram infectadas. Mas não está claro ainda se os ataques foram relacionados, mas eles se espalharam simultaneamente em um ataque global que já pode ser considerado maior que o provocado pelo WannaCry. Especula-se também que o ransomware pode ter origem no roubo de "ciberarmas" do governo norte-americano.

Segundo o jornal britânico The Guardian, na noite de sexta-feira, 23, o ransomware se espalhou para os Estados Unidos e América do Sul.