Funcionários da Sony Pictures Entertainment ficaram assustados na manhã do dia do dia 24 de novembro de 2014 devido a um grupo de criminosos desconhecido que hackeou o servidor da empresa. Desde então, não se soube muito mais sobre os criminosos.

A Kaspersky Lab, em colaboração com a Novetta e a AlienVault, conduziu uma investigação (nomeada Operação Blockbuster) sobre as atividades do grupo Lazarus. Acredita-se que essa gangue seja a responsável por hackear a Sony Pictures e diversos ataques à bancos.

Especialistas analisaram amostras do malware Destroyer publicamente, depois desse grande vazamento na Sony Pictures. Foram revelados traços de dezenas de cibercampanhas que usaram diferentes amostras do malware com características comuns. A Kaspersky Lab , graças à essa investigação, conseguiu identificar os novos malwares produzidos pelo mesmo autor.

Quais foram as outras ações cometidas pelo Grupo Lazarus e como identificá-los?

Os hackers pegam emprestado fragmentos de códigos de programas maliciosos e os implementam em outros. Além disso, os droppers – arquivos especiais para instalar variações diferentes de carga maliciosa – mantêm todos os dados dentro de um arquivo ZIP protegido. A senha era a mesma em diversas campanhas diferentes.

Para identificar o grupo, até os métodos que os criminosos usaram para eliminar rastros de sua presença dos sistemas infectados foram úteis. Foi revelado que o Grupo Lazarus estava envolvido em campanhas de espionagem militar e sabotagem de operações de instituições financeiras, estúdios de mídia e empresas de manufatura.

A Kaspersky Lab compartilhou os resultados da investigação com os Laboratórios AlienVault. As duas empresas uniram seus esforços para conduzir uma investigação conjunta.

Por fim, outras empresas e especialistas em segurança também estavam investigando as atividades do Grupo Lazarus. Uma delas, a Novetta, desenvolveu uma linha de investigação que coincidia com parte da “Operação Blockbuster“, e nós ficamos felizes em ajudar.

O que sabemos sobre o grupo Lazarus?

A primeira ameaça do grupo foi em 2009 e desde de 2010, o número cresceu dinamicamente, continuando ativos em 2016.

Seus dias úteis de trabalho duram de 15-16 horas. O Grupo é provavelmente um dos mais empenhados, especializados em APT.  Quase dois terços dos arquivos executáveis dos cibercriminosos incluíam elementos típicos de falantes de coreano.

A Operação Blockbuster ajudou todas as partes envolvidas a descobrir mais sobre esses perigosos cibercriminosos. Essa colaboração é um exemplo de como compartilhar informações ajudam na identificação de criminosos reais tornando a Internet um lugar mais seguro.

Fonte

Leia a matéria no site do fabricante