Um novo malware identificado pela SentinelOne, empresa do ramo de Segurança da Informação, tem como alvo os sistemas de gestão de energia de uma grande empresas energética Europeia, segundo as evidências dos diretores de segurança da SentinelOne, o ataque possui indícios de patrocínio de um estadonação, ou seja, um governo, potencialmente com origem na Europa Oriental, graças a engenharia reversa, que decifrou o nível extremo de sofisticação deste malware e possivelmente o custo para elaborar um software desta natureza, foi possível deduzir estas informações.
O malware afeta todas as versões do sistema operacional Microsoft Windows
e foi desenvolvido para contornar todas as soluções em antivírus e firewall, porém se o malware detecta um software especifico em biométrica (leitor de digital, iris ou facial) ou indicadores que mostram a presença de métodos de segurança, como exemplo o sandbox, o malware ira parar a execução imediatamente, porque de acordo com o blog: “Esses sistemas seriam fortemente controladas por seus administradores, e uma infecção em uma dessas máquinas provavelmente não iria passar despercebida.”
O malware (SFG) tira vantagens de duas exploits CVE20144113 e CVE20151701, além de um desvio UAC, estes permitem ao SFG obter privilégios de administradores, ua vez que o malware ganha o controle administrativo, ele usa um método para fazer um levantamento da rede conectada e assim reportar suas conclusões aos hackers, e aguardar novas instruções; A partir de então, os hackers tem um visão detalhada da rede, o que permite instalar outros tipos de malware, tanto para espionagem ou/e sabotagem do sistema; além de varias outras funções de evasão trazidas pelo blog deste poderoso software malicioso.
A sentinelOne trouxe vários métodos para evitar e combater este ataque especifico. Portanto, o SFG é software muito sofisticado, com capacidade de detectar e evitar soluções em segurança da informação, além de possuir varias técnicas de evasão, tornando o software desta imensidão um pesadelo para os analistas.
Segundo a SentinelOne, este malware sofisticado, e com capacidade para evoluir ao longo do tempo, tem como alvos empresas criticas para um determinado país, como esta empresa do ramo energético. Por estes e outros motivos de ameaças, a segurança da informação é tão importante atualmente, garantindo a integridade, disponibilidade, confidencialidade e autenticidade das informações, seja ela de uma infraestrutura critica e muito importante ou mesmo de uma pequena/média empresa.
Por Guilherme Berbelini, formado em Segurança da Informação em 2016 pela Fatec de Americana, SP