de criptomoedas mexicanas de alto patrimônio , bancos e grandes empresas com faturamento bruto superior a US$ 100 milhões.
Os atacantes foram tracno México e acredita-se que estejam baseados na América Latina.
Metodologia de ataque sofisticada
O relatório da Blackberry destaca o uso de uma ferramenta de acesso remoto de código aberto chamada AllaKore RAT pelos agentes maliciosos. Essa ferramenta foi extensivamente modificada para permitir o roubo de informações confidenciais do usuário, incluindodentbancárias e dados de autenticação exclusivos.
As informações roubadas são transmitidas para um servidor de comando e controle (C2), facilitando a fraude financeira.
Uma das características notáveis deste ciberataque é o seu método de infiltração. Os atacantes visam instalar o RAT AllaKore em computadores e bases de dados empresariais, muitas vezes ocultando as suas ações por trás de nomes e links oficiais.
Esse método permitiu que eles contornassem a suspeita dos funcionários, tornando a ameaça difícil de detectar.
O alcance dessa ameaça cibernética vai além do setor financeiro. Embora as corretoras de criptomoedas e os bancos tenham sido os principais alvos, grandes corporações mexicanas de diversos ramos de atividade também foram vítimas desses ataques.
Esses setores incluem varejo, agricultura, setor público, indústria, transporte, serviços comerciais e bens de capital.
Grandes empresas mexicanas no radar
Os atacantes preferem grandes empresas com faturamento bruto superior a US$ 100 milhões. Essas empresas se reportam diretamente ao Instituto Mexicano de Seguro Social (IMSS), o que as torna alvostrac.
Observou-se que os cibercriminosos estavam utilizando endereços IP da Starlink no México, o que confirma ainda mais seu foco em entidades mexicanas.
À medida que os atacantes aprimoram suas táticas, as novas versões do RAT AllaKore empregam um processo de instalação mais complexo. O malware é entregue às organizações-alvo dentro de um arquivo de instalação de software da Microsoft.
O malware só é executado após confirmar que a vítima está localizada no México, o que indica um alto grau de sofisticação em sua abordagem.
conexão latino-americana
As instruções em espanhol presentes no payload modificado do RAT sugerem que o agente malicioso responsável por esses ataques está localizado na América Latina. Essa conexão regional adiciona complexidade à investigação e ressalta a necessidade de cooperação internacional para combater essa ameaça cibernética.
Dada a natureza em constante evolução dessa ameaça cibernética, é crucial que as organizações, especialmente aquelas nos setores visados, tomem medidas proativas para proteger seus sistemas e dados.
Essas medidas podem incluir o aprimoramento dos protocolos de segurança cibernética, a implementação de sistemas robustos de detecção de intrusões e o fornecimento de treinamento em segurança cibernética aos funcionários para ajudá-los a reconhecer possíveis ameaças.
esforços colaborativos
Combater essa ameaça cibernética exige esforços colaborativos dos setores público e privado. As empresas afetadas por esses ataques devem trabalhar em estreita colaboração com as autoridades policiais e em segurança cibernética para investigar e mitigar os danos.
Além disso, compartilhar informações sobre ameaças e boas práticas dentro da comunidade empresarial pode ajudar a fortalecer as defesas contra futuros ataques.
