Um ciberataque com motivação financeira teve como alvo grandes empresas mexicanas e corretoras de criptomoedas

A divisão de pesquisa e inteligência da Blackberry alertou sobre um ciberataque com motivação financeira direcionado a corretoras de criptomoedas mexicanas de alto patrimônio , bancos e grandes empresas com faturamento bruto superior a US$ 100 milhões.

Os atacantes foram tracno México e acredita-se que estejam baseados na América Latina.

Metodologia de ataque sofisticada

O relatório da Blackberry destaca o uso de uma ferramenta de acesso remoto de código aberto chamada AllaKore RAT pelos agentes maliciosos. Essa ferramenta foi extensivamente modificada para permitir o roubo de informações confidenciais do usuário, incluindodentbancárias e dados de autenticação exclusivos. 

As informações roubadas são transmitidas para um servidor de comando e controle (C2), facilitando a fraude financeira.

Uma das características notáveis ​​deste ciberataque é o seu método de infiltração. Os atacantes visam instalar o RAT AllaKore em computadores e bases de dados empresariais, muitas vezes ocultando as suas ações por trás de nomes e links oficiais. 

Esse método permitiu que eles contornassem a suspeita dos funcionários, tornando a ameaça difícil de detectar.

O alcance dessa ameaça cibernética vai além do setor financeiro. Embora as corretoras de criptomoedas e os bancos tenham sido os principais alvos, grandes corporações mexicanas de diversos ramos de atividade também foram vítimas desses ataques. 

Esses setores incluem varejo, agricultura, setor público, indústria, transporte, serviços comerciais e bens de capital.

Grandes empresas mexicanas no radar

Os atacantes preferem grandes empresas com faturamento bruto superior a US$ 100 milhões. Essas empresas se reportam diretamente ao Instituto Mexicano de Seguro Social (IMSS), o que as torna alvostrac. 

Observou-se que os cibercriminosos estavam utilizando endereços IP da Starlink no México, o que confirma ainda mais seu foco em entidades mexicanas.

À medida que os atacantes aprimoram suas táticas, as novas versões do RAT AllaKore empregam um processo de instalação mais complexo. O malware é entregue às organizações-alvo dentro de um arquivo de instalação de software da Microsoft. 

O malware só é executado após confirmar que a vítima está localizada no México, o que indica um alto grau de sofisticação em sua abordagem.

conexão latino-americana

As instruções em espanhol presentes no payload modificado do RAT sugerem que o agente malicioso responsável por esses ataques está localizado na América Latina. Essa conexão regional adiciona complexidade à investigação e ressalta a necessidade de cooperação internacional para combater essa ameaça cibernética.

Dada a natureza em constante evolução dessa ameaça cibernética, é crucial que as organizações, especialmente aquelas nos setores visados, tomem medidas proativas para proteger seus sistemas e dados. 

Essas medidas podem incluir o aprimoramento dos protocolos de segurança cibernética, a implementação de sistemas robustos de detecção de intrusões e o fornecimento de treinamento em segurança cibernética aos funcionários para ajudá-los a reconhecer possíveis ameaças.

esforços colaborativos

Combater essa ameaça cibernética exige esforços colaborativos dos setores público e privado. As empresas afetadas por esses ataques devem trabalhar em estreita colaboração com as autoridades policiais e em segurança cibernética para investigar e mitigar os danos. 

Além disso, compartilhar informações sobre ameaças e boas práticas dentro da comunidade empresarial pode ajudar a fortalecer as defesas contra futuros ataques.