Um grupo por trás do Trojan Gatak (Trojan.Gatak) continua a representar uma ameaça para as organizações, especialmente no setor de saúde, fortemente impactado pelos ataques. O Gatak é conhecido por infectar suas vítimas via sites que prometem chaves de licenciamento de produto para software pirata. Inicialmente, o foco estava em alvos nos Estados Unidos, mas, ao longo dos últimos dois anos, foram registrados ataques contra organizações em diversos países.   A área de saúde continua sendo a mais afetada

A maioria das infecções do Gatak (62%) ocorre em computadores corporativos. A análise de ataques corporativos recentes indica que o setor de saúde é, sem dúvida, o mais impactado pelo malware. Das 20 principais organizações afetadas – com o maior número de computadores comprometidos –, 40% eram no setor de saúde. No passado, o setor de seguros também foi um grande alvo do grupo.

symantec

Imagem 1. Distribuição por setor das organizações com maior impacto de infecções Gatak

Website de geração de chave de licenciamento usado para atrair vítimas inocentes

As vítimas do Gatak são infectadas por meio de sites que oferecem geradores de chave de licenciamento de produtos ou “keygens” para software pirata. O malware é empacotado com a chave do produto e, se um desses arquivos for aberto, ele se instala no computador.

symantec-png2

Imagem 2. Website malicioso de geração de chave de licenciamento oferecendo chave de produto para versão pirata do SketchList3D. Visitantes que fazem download de uma chave serão infectados com o Gatak.

 Os responsáveis pelos ataques mantém o foco em softwares com maiores probabilidades de serem utilizados em ambientes profissionais. Os sites usados são controlados pelos próprios grupos de ataque e não têm ligação com os desenvolvedores do software. Em nenhum momento as versões originais da ferramenta são comprometidas. Entre as marcas de softwares usadas como isca foram identificadas:

SketchList3D (software de design para carpintaria)

Native Instruments Drumlab (software de engenharia de som)

BobCAD-CAM (software de manufatura/metalurgia)

BarTender Enterprise Automation (software de criação de etiquetas e código de barras)

HDClone (utilitário de clonagem de disco rígido)

Siemans SIMATIC STEP 7 (software de automação industrial)

CadSoft Eagle Professional (software de design de placa de circuito impresso)

PremiumSoft Navicat Premium (software de administração de banco de dados)

Originlab Originpro (software gráfico para análise de dados)

Manctl Skanect (software de digitalização 3D)

Symantec System Recovery (software de backup e recuperação de dados; agora parte da Veritas)

As chaves de produto baixadas a partir desses sites não funcionam e simplesmente geram uma sequência pseudoaleatória de caracteres. Isso significa que tudo o que a vítima recebe com o download é um arquivo inútil e uma possível infecção do Gatak.

Ferramentas de Malware

O Trojan Gatak (também conhecido por Stegoloader) tem sido usado pelo menos desde 2011. Há dois componentes principais do malware: o módulo de implementação leve (Trojan.Gatak.B) pode realizar uma identificação detalhada do sistema em computadores infectados e instalar seletivamente cargas adicionais, enquanto o módulo principal (Trojan.Gatak), um verdadeiro Trojan de backdoor, mantém uma presença persistente no computador infectado e rouba suas informações.

Uma característica notável do Gatak é o uso de esteganografia, técnica para esconder dados dentro de arquivos de imagem. Quando instalado, ele tenta baixar um arquivo de imagem PNG de uma série de URLs codificados no malware. A imagem se parece com uma fotografia comum, mas contém uma mensagem criptografada dentro de seus dados de pixel. O Trojan Gatak é capaz de decodificar esta mensagem, que camufla comandos e arquivos para execução.

Movimento nas redes comprometidas

Em aproximadamente 62% dos incidentes, o movimento lateral na rede da vítima ocorre dentro do período de duas horas após a infecção. Nos casos restantes, esse movimento começa depois. Isto indica que a ação não é automatizada e sim executada manualmente pelos atacantes. Não se sabe ao certo se eles não têm os recursos para explorar todas as infecções imediatamente ou se priorizam algumas delas.

Na verdade, pouco se sabe sobre como esses grupos se movem na rede de uma organização. A explicação mais provável é que eles exploram senhas fracas e falta de segurança em compartilhamentos de arquivos e unidades de rede. Não há evidência de explorações de dia-zero ou ferramentas sofisticadas de hacking sendo empregadas.

Em alguns casos, os computadores foram infectados com outros tipos de malware, incluindo diversas variantes de ransomware e o Trojan financeiro Shylock (Trojan.Shylock). No caso do Shylock, as versões parecem ser mais antigas e podem até mesmo ser infecções de “bandeira falsa”, usadas quando o grupo desconfia que seu ataque foi descoberto, a fim de enganar os investigadores.

Por que a área de saúde?

Embora pouco se saiba sobre o grupo responsável pelo Gatak, a natureza corporativa de seus alvos, em conjunto com a ausência de vulnerabilidades de dia-zero ou módulos de malware avançados, sugere que pode tratar-se de cibercriminosos em sua essência. No entanto, também existem recursos dentro do malware para operações mais tradicionais de espionagem.

Também não está claro como o Gatak gera lucros. Uma possibilidade é via venda de informações de identificação pessoal e outros dados roubados, no mercado cibernético clandestino. Isto poderia explicar o foco direcionado ao setor da saúde, pois as condições de saúde de um paciente, que pode ser uma personalidade pública, normalmente alcançam melhores preços do que outras informações pessoais.

Por outro lado, a forma de distribuição do Gatak, por meio de sites de geração de chaves de licenciamento, indica que os grupos de ataque podem ser mais oportunistas. Ao utilizar uma abordagem watering-hole, eles desempenham um papel em grande parte passivo, com pouco controle sobre quem é infectado. Se for este o caso, o setor da saúde pode simplesmente ser o mais suscetível a esse tipo de ataque. As organizações podem estar sob pressão, com poucos recursos, e muitas usam sistemas legados de software, cujas atualizações são caras.

Vigilância contínua necessária

Desde que apareceu, há cinco anos, o grupo Gatak realizou um fluxo constante de ataques que representam uma séria ameaça para qualquer organização. Mas, como continua atuando, ele também traz um lembrete oportuno para o mercado, ou seja, o uso de software pirata pode além comprometer a segurança, criar problemas legais para uma organização. Mais do que instalar uma solução de segurança robusta, as organizações devem auditar regularmente o software utilizado em sua rede e educar os funcionários sobre os perigos do uso de software pirata ou não aprovado.