[CURSOS][bsummary]
[ANDROID][bleft]

Grupo de hackers por trás de violação de dados SingHealth identificado, direcionado principalmente empresas de Cingapura

Hackers que comprometeram os dados de 1,5 milhão de pacientes de saúde foram identificados como um grupo que lançou ataques contra várias organizações sediadas em Cingapura, incluindo empresas multinacionais com operações no país, e é provavelmente parte de uma operação maior que visa outros países e regiões.

Hackers que comprometeram os dados de 1,5 milhão de pacientes do SingHealth foram identificados como um grupo que lançou ataques contra várias empresas sediadas em Cingapura, incluindo empresas multinacionais com operações na cidade-estado. Apelidado de Whitefly, o grupo atacou organizações na área de saúde, mídia, telecomunicações e engenharia, e provavelmente faz parte de uma operação maior que visa outras nações, de acordo com um relatório da Symantec. 
O fornecedor de segurança cibernética disse que começou a investigar o ataque da SingHealth desde julho de 2018 e determinou, durante o curso da investigação, que um grupo anteriormente desconhecido era responsável e também havia lançado outros ataques. Operando desde pelo menos 2017, o grupo tinha como alvo principalmente organizações em Cingapura em vários setores e estava focado principalmente em roubar grandes volumes de dados confidenciais. 
Perguntado por que o grupo estava de olho em Cingapura, Dick O'Brien, pesquisador da Symantec Security Response, disse à ZDNet que seu patrocinador provavelmente tinha outras equipes visando outros países e regiões e que era possível que a Whitefly fizesse parte de uma operação mais ampla de coleta de informações. a região. Ligações com ataques em outras regiões com o uso de ferramentas de ataque semelhantes colocavam a possibilidade de que este fosse o caso.
O'Brien não conseguiu revelar o número de organizações afetadas pelos ataques do grupo, acrescentando que a pesquisa do fornecedor estava em andamento. 
Ele disse, no entanto, que a ferramenta de ataque usada pela Whitefly também foi usada para lançar ataques contra empresas nos setores de defesa, telecomunicações e energia que operam no sudeste da Ásia e na Rússia. No entanto, o envolvimento da Whitefly atualmente só pode ser confirmado em ataques ocorridos em Cingapura. 
O governo de Cingapura revelou em janeiro que foi  capaz de identificar os hackers responsáveis ​​pelo ataque de SingHealth e tomou as medidas apropriadas, mas não revelou a identidade desses autores por "razões de segurança da nação" e que "não estava em nossa interesse em fazer uma atribuição pública ".
A ZDNet enviou várias perguntas à Cyber ​​Security Agency (CSA), a agência governamental encarregada de supervisionar as operações de segurança cibernética de Cingapura, incluindo se a Whitefly era o grupo de hackers a que se referiu em janeiro e se o governo havia trabalhado com qualquer organização para identificar os hackers da SingHealth. 
Um porta-voz da CSA não respondeu diretamente a essas perguntas, mas respondeu com essa afirmação: "As empresas de segurança cibernética produzem regularmente esses relatórios com base em suas próprias informações e pesquisas para seus vários interessados. Como este é um relatório de investigação independente de uma entidade comercial, nenhum comentário sobre o seu conteúdo ".
Quando perguntada, a Symantec confirmou que compartilhou suas descobertas com a CSA. 

GRUPO DE HACKERS PRETENDE FICAR EM MODO FURTIVO

O relatório da Symantec, divulgado no final da quarta-feira, revelou que a Whitefly comprometeu seus alvos usando malware personalizado e ferramentas de hacking de código aberto, bem como táticas de terra, como scripts maliciosos do PowerShell. 
Especificamente, o grupo tenta infectar seus alvos usando um conta-gotas na forma de um arquivo ".exe" ou ".dll" malicioso, que é disfarçado como um documento ou imagem e, provavelmente, enviado por e-mail de spear phishing. Se aberto, o conta-gotas executa um carregador conhecido como Trojan.Vcrodat no computador. 
O'Brien observou: "O Vcrodat usa uma técnica conhecida como sequestro de ordem de pesquisa. Em suma, essa técnica usa o fato de que, se nenhum caminho for fornecido, o Windows procurará DLLs em locais específicos no computador em uma ordem predefinida. pode, portanto, dar a uma DLL maliciosa o mesmo nome de uma DLL legítima, mas colocá-la à frente da versão legítima na ordem de pesquisa para que ela seja carregada quando o Windows a procurar. "
Perguntado por que o Windows não conseguiu diferenciar DLLs maliciosas e legítimas, ele explicou que o Windows só executava uma pesquisa se nenhum caminho fosse fornecido. Então, o problema era se os desenvolvedores de software haviam especificado o caminho da DLL. "Os fornecedores geralmente corrigem seus softwares se encontrarem caminhos que não são especificados, mas isso pode não impedir o invasor de usar a técnica, pois eles podem soltar uma versão não corrigida e usá-la para carregar a DLL maliciosa", disse ele. 
A Symantec também observou que a Whitefly geralmente visava permanecer sem ser detectada, muitas vezes por meses, em uma rede direcionada com o objetivo de roubar grandes volumes de dados. Isso seria feito com a implantação de várias ferramentas, como a ferramenta de hacking de código aberto Termite, que facilitou a comunicação entre seus hackers e os computadores infectados. 
O'Brien acrescentou: ". Por exemplo, se eles estão usando ferramentas inéditas, quaisquer incursões podem não ser detectados até que essas ferramentas são identificados e sinalizados Observamos também que Whitefly fez um grande esforço para roubar credenciais, como nomes de usuários e senhas de organizações-alvo, facilitando a manutenção de uma presença de longo prazo na rede ".
Segundo a Symantec, a violação do SingHealth dificilmente seria um ataque isolado e, em vez disso, fazia parte de uma série de ataques contra organizações na região. 
"A Whitefly é um grupo altamente competente, com um grande arsenal de ferramentas à sua disposição, capaz de penetrar em organizações direcionadas e manter uma presença de longo prazo em suas redes", afirmou. 
A SingHealth e a agência de TI do setor de saúde pública de Cingapura IHIS foram punidas com penalidades financeiras de US $ 250.000 e S $ 750.000, respectivamente, para o ataque de segurança cibernética de julho de 2018 que violou a lei de proteção de dados pessoais do país. As multas são as mais altas até hoje.

0 comentários via Blogger
comentários via Facebook

Nenhum comentário :