Pesquisadores de segurança descobriram um novo grupo de hackers que está atacando agressivamente organizações de saúde e setores relacionados em todo o mundo para realizar espionagem corporativa.
Apelidado de “Orangeworm”, o grupo hacker foi encontrado instalando um trojan wormable em máquinas de hospedagem de software usadas para controlar dispositivos de imagem de alta tecnologia, como máquinas de raios X e ressonância magnética, bem como máquinas usadas para ajudar pacientes a preencher formulários de consentimento.
De acordo com um novo relatório publicado pela Symantec na segunda-feira, o grupo de hackers Orangeworm está ativo desde o início de 2015 e tem como alvo sistemas de grandes corporações internacionais nos Estados Unidos, Europa e Ásia, com foco principal no setor de saúde.
“Acreditamos que essas indústrias também tenham sido alvejadas como parte de um ataque maior da cadeia de suprimentos para que a Orangeworm tenha acesso às vítimas desejadas relacionadas à saúde”, disse a Symantec.
Depois de entrar na rede da vítima, os atacantes instalam um trojan, apelidado de Kwampirs, que abre um backdoor nos computadores comprometidos, permitindo que atacantes acessem remotamente equipamentos e roubem dados confidenciais.
Ao descriptografar, o malware Kwampirs insere uma seqüência de caracteres gerada aleatoriamente em sua carga principal DLL em uma tentativa de evitar a detecção baseada em hash. O malware também inicia um serviço nos sistemas comprometidos para persistir e reiniciar após a reinicialização do sistema.
Os Kwampirs então coletam algumas informações básicas sobre os computadores comprometidos e os enviam aos invasores para um servidor de comando e controle remoto, usando o grupo para determinar se o sistema hackeado é usado por um pesquisador ou por um alvo de alto valor.
Se a vítima é de interesse, o malware então “agressivamente” se espalha pelos compartilhamentos de rede abertos para infectar outros computadores dentro da mesma organização.
Para coletar informações adicionais sobre a rede da vítima e sistemas comprometidos, o malware usa os comandos internos do sistema, em vez de usar ferramentas de reconhecimento e enumeração de terceiros.
A lista de comandos mostrada acima ajuda os invasores a roubar informações, incluindo “qualquer informação referente a computadores acessados recentemente, informações do adaptador de rede, compartilhamentos de rede disponíveis, unidades mapeadas e arquivos presentes no computador comprometido”.
Além de prestadores de serviços de saúde e empresas farmacêuticas, que representam quase 40% das metas, a Orangeworm também lançou ataques contra outras indústrias, incluindo os setores de tecnologia da informação e manufatura, agricultura e logística.
No entanto, essas indústrias também de alguma forma trabalham para a saúde, como fabricantes que fabricam dispositivos médicos, empresas de tecnologia que oferecem serviços para clínicas e empresas de logística que fornecem produtos para a saúde.
Embora o motivo exato de Orangeworm não seja claro e não haja informações que possam ajudar a determinar as origens do grupo, a Symantec acredita que o grupo provavelmente está conduzindo espionagem para fins comerciais e não há evidências de que seja apoiado por um Estado-nação.
“Com base na lista de vítimas conhecidas, Orangeworm não seleciona seus alvos aleatoriamente ou realiza ataques oportunistas”, disse a Symantec. “Pelo contrário, o grupo parece escolher seus alvos com cuidado e deliberadamente, conduzindo uma boa quantidade de planejamento antes de lançar um ataque.”
A maior porcentagem de vítimas foi detectada nos Estados Unidos, seguida pela Arábia Saudita, Índia, Filipinas, Hungria, Reino Unido, Turquia, Alemanha, Polônia, Hong Kong, Suécia, Canadá, França e vários outros países em todo o mundo.
Pesquisadores de segurança descobriram um novo grupo de hackers que está atacando agressivamente organizações de saúde e setores relacionados em todo o mundo para realizar espionagem corporativa.
Apelidado de “Orangeworm”, o grupo hacker foi encontrado instalando um trojan wormable em máquinas de hospedagem de software usadas para controlar dispositivos de imagem de alta tecnologia, como máquinas de raios X e ressonância magnética, bem como máquinas usadas para ajudar pacientes a preencher formulários de consentimento.
De acordo com um novo relatório publicado pela Symantec na segunda-feira, o grupo de hackers Orangeworm está ativo desde o início de 2015 e tem como alvo sistemas de grandes corporações internacionais nos Estados Unidos, Europa e Ásia, com foco principal no setor de saúde.
“Acreditamos que essas indústrias também tenham sido alvejadas como parte de um ataque maior da cadeia de suprimentos para que a Orangeworm tenha acesso às vítimas desejadas relacionadas à saúde”, disse a Symantec.
Depois de entrar na rede da vítima, os atacantes instalam um trojan, apelidado de Kwampirs, que abre um backdoor nos computadores comprometidos, permitindo que atacantes acessem remotamente equipamentos e roubem dados confidenciais.
Ao descriptografar, o malware Kwampirs insere uma seqüência de caracteres gerada aleatoriamente em sua carga principal DLL em uma tentativa de evitar a detecção baseada em hash.O malware também inicia um serviço nos sistemas comprometidos para persistir e reiniciar após a reinicialização do sistema.
Os Kwampirs então coletam algumas informações básicas sobre os computadores comprometidos e os enviam aos invasores para um servidor de comando e controle remoto, usando o grupo para determinar se o sistema hackeado é usado por um pesquisador ou por um alvo de alto valor.
Se a vítima é de interesse, o malware então “agressivamente” se espalha pelos compartilhamentos de rede abertos para infectar outros computadores dentro da mesma organização.
Para coletar informações adicionais sobre a rede da vítima e sistemas comprometidos, o malware usa os comandos internos do sistema, em vez de usar ferramentas de reconhecimento e enumeração de terceiros.
A lista de comandos mostrada acima ajuda os invasores a roubar informações, incluindo “qualquer informação referente a computadores acessados recentemente, informações do adaptador de rede, compartilhamentos de rede disponíveis, unidades mapeadas e arquivos presentes no computador comprometido”.
Além de prestadores de serviços de saúde e empresas farmacêuticas, que representam quase 40% das metas, a Orangeworm também lançou ataques contra outras indústrias, incluindo os setores de tecnologia da informação e manufatura, agricultura e logística.
No entanto, essas indústrias também de alguma forma trabalham para a saúde, como fabricantes que fabricam dispositivos médicos, empresas de tecnologia que oferecem serviços para clínicas e empresas de logística que fornecem produtos para a saúde.
Embora o motivo exato de Orangeworm não seja claro e não haja informações que possam ajudar a determinar as origens do grupo, a Symantec acredita que o grupo provavelmente está conduzindo espionagem para fins comerciais e não há evidências de que seja apoiado por um Estado-nação.
“Com base na lista de vítimas conhecidas, Orangeworm não seleciona seus alvos aleatoriamente ou realiza ataques oportunistas”, disse a Symantec. “Pelo contrário, o grupo parece escolher seus alvos com cuidado e deliberadamente, conduzindo uma boa quantidade de planejamento antes de lançar um ataque.”
A maior porcentagem de vítimas foi detectada nos Estados Unidos, seguida pela Arábia Saudita, Índia, Filipinas, Hungria, Reino Unido, Turquia, Alemanha, Polônia, Hong Kong, Suécia, Canadá, França e vários outros países em todo o mundo.
