Hackers russos enganam diplomatas na Ucrânia com anúncio falso de venda de BMW

A Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks, líder mundial em cibersegurança, identificou recentemente uma série de ataques cibernéticos direcionados às missões diplomáticas na Ucrania. Os responsáveis por essas ações são hackers supostamente ligados ao Serviço de Inteligência Estrangeira da Rússia, conhecidos como Cloaked Ursa, também denominados APT29, UAC-0029, Midnight Blizzard/Nobelium e Cozy Bear.

Ao longo dos últimos dois anos, a gangue Cloaked Ursa tem utilizado predominantemente iscas de phishing com temas relacionados a operações diplomáticas. Essas iscas são direcionadas a indivíduos que lidam com a correspondência da embaixada como parte de suas responsabilidades diárias. O objetivo é convencê-los a abrir arquivos, já que esses funcionários frequentemente têm acesso a informações sensíveis e confidenciais, bem como a comunicações e correspondências entre países.

Recentemente, os pesquisadores da Unit 42 observaram uma mudança no padrão de ataque da Cloaked Ursa. Ao invés de focar exclusivamente nos países representados pelas missões diplomáticas, a ameaça passou a mirar diretamente nos próprios diplomatas. Os ataques, ligados ao serviço de inteligência russo, miravam representantes de pelos menos 22 das cerca de 80 missões estrangeiras presentes na capital ucraniana.

Para Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil, esse número é surpreendente para uma operação clandestina conduzida por uma Ameaça Persistente Avançada (APT) que é publicamente atribuída ao Serviço de Inteligência Estrangeira da Rússia (SVR) pelos Estados Unidos e Reino Unido. “A avaliação de que o grupo é responsável por essas iscas é embasada em diversas evidências, incluindo semelhanças com outras campanhas e alvos conhecidos da ameaça, o uso de TTPs conhecidos e a identificação de sobreposição de código com outro malware previamente associado a essa ameaça”, afirma Oliveira.

Uma das mais recentes campanhas observadas pelos pesquisadores usou a venda legítima de um veículo BMW para atingir diplomatas em Kiev. A campanha teve início com um evento inofensivo: em meados de abril de 2023, um diplomata do Ministério das Relações Exteriores da Polônia enviou por e-mail um panfleto anunciando a venda de um sedã BMW série 5 usado, que estava na capital. O arquivo foi intitulado “BMW 5 à venda em Kiev – 2023.docx”.

“Os hackers listaram a BMW do diplomata por um preço mais baixo, de 7.500 euros, em uma versão falsa do anúncio, como uma tentativa de encorajar mais pessoas a baixar um software malicioso que lhes daria acesso remoto a seus dispositivos. Esse software estava disfarçado como um álbum de fotos do veículo e ao tentar abrir essas imagens, a pessoa infectaria a sua máquina. A venda de um carro confiável de um diplomata bem estabelecido foi percebida pela Cloaked Ursa como uma oportunidade atraente”, comenta Oliveira.

Como não cair em golpes de phising

Para evitar cair em golpes de phishing, é fundamental estar atento e seguir algumas práticas de segurança. Ter cautela ao lidar com e-mails e mensagens online  pode reduzir significativamente o risco de cair nesse tipo de golpe, ajudando a manter as informações das empresas, pessoais e financeiras seguras.

Segundo Oliveira, é imprescindível verificar o endereço de e-mail do remetente antes de abrir qualquer e-mail suspeito. Erros ortográficos ou pequenas variações em nomes de domínio sçao alguns dos indícios que podem indicar que o e-mail é falso. “Evite clicar em links enviados por e-mails não solicitados, especialmente se eles direcionam para sites desconhecidos ou suspeitos. Verifique a URL do link antes de clicar para garantir que seja autêntico”, completa.

Outro cuidado importante é na hora de abrir os arquivos anexados nos emails. E-mails de phishing frequentemente contêm anexos maliciosos que podem infectar o computador com malware. Por isso é essencial ativar a autenticação em dois fatores sempre que possível,  já que isso adiciona uma camada extra de segurança, exigindo um segundo método de verificação além da senha para acessar contas online. “Também desconfie de mensagens urgentes. Golpistas frequentemente usam táticas de urgência para induzir as pessoas a agir rapidamente e sem pensar. Se um e-mail ou mensagem parecer muito urgente ou alarmante, verifique sua autenticidade antes de tomar qualquer ação”, alerta Oliveira. “E ao receber um e-mail de phishing, é preciso denunciá-lo ao provedor de e-mail e às autoridades competentes. Isso pode ajudar a prevenir que outros caiam na mesma armadilha”, completa o especialista.

Sobre a Palo Alto Networks

A Palo Alto Networks é líder mundial em cibersegurança. Inovamos para superar as ameaças cibernéticas, para que as organizações possam adotar a tecnologia com confiança. Fornecemos segurança cibernética de última geração para milhares de clientes em todo o mundo, em todos os setores. Nossas melhores plataformas e serviços de segurança cibernética são apoiados por inteligência de ameaças líder do setor e fortalecidos por automação de última geração. 

Seja implantando nossos produtos para habilitar o Zero Trust Enterprise, respondendo a um incidente de segurança ou fazendo parceria para fornecer melhores resultados de segurança por meio de um ecossistema de parceiros de classe mundial, estamos comprometidos em ajudar a garantir que cada dia seja mais seguro do que o anterior. É o que nos torna o parceiro de cibersegurança preferido. Na Palo Alto Networks, estamos comprometidos em reunir as melhores pessoas a serviço de nossa missão, por isso também estamos orgulhosos de ser o local de trabalho de segurança cibernética preferido, reconhecido entre os locais de trabalho mais amados da Newsweek (2022), Comparably Best Companies for Diversity (2021) e HRC Best Places for LGBTQ Equality (2022). Para obter mais informações, visite www.paloaltonetworks.com.

Sobre a Palo Alto Networks Unit 42

A Unit 42 reúne os pesquisadores de renome mundial em tratamento de ameaças com uma equipe de elite de consultores de segurança para criar uma organização pronta para resposta e orientada por inteligência. A equipe Unit 42 Threat Intelligence fornece pesquisa de ameaças que permite que as equipes de segurança entendam a intenção e a atribuição do adversário, ao mesmo tempo em que aprimoram as proteções oferecidas por nossos produtos e serviços para impedir ataques avançados. À medida que as ameaças aumentam, a Unit 42 está disponível para aconselhar os clientes sobre os riscos mais recentes, avaliar sua prontidão e ajudá-los a se recuperar quando o pior ocorrer. A equipe de consultoria de segurança da Unit 42 atua como um parceiro confiável com experiência em risco cibernético de última geração e recursos de resposta a incidentes, ajudando os clientes a se concentrarem em seus negócios antes, durante e depois de uma violação. Para obter mais informações, visite https://unit42.paloaltonetworks.com/