Um ataque de ransomware RA World, ocorrido em novembro de 2024, teve como alvo uma empresa de software e serviços no sul da Ásia. A investigação conduzida pela equipe Symantec Threat Hunter Team, da Broadcom, revelou que a operação envolveu uma ferramenta maliciosa normalmente associada a hackers chineses especializados em espionagem digital.
Conexão com espionagem cibernética chinesa
A ferramenta PlugX, também conhecida como Korplug, foi utilizada no ataque. Esse malware já foi vinculado ao grupo Mustang Panda (Fireant ou RedDelta), conhecido por suas campanhas de espionagem. Em ataques anteriores, o PlugX foi usado para manter presença persistente nas redes comprometidas, geralmente sem envolver extorsão financeira.
Entre os incidentes registrados, destaca-se um comprometimento ocorrido em julho de 2024 contra o Ministério das Relações Exteriores de um país do sudeste europeu, utilizando técnicas de carregamento lateral de DLL para instalar o PlugX por meio do executável legítimo “toshdpdb.exe” da Toshiba. Situações similares ocorreram contra entidades governamentais e empresas de telecomunicações na Europa e na Ásia ao longo do ano.
Ransomware RA World: motivação financeira ou operação independente?
Diferente dos ataques de espionagem anteriores, o ataque de novembro de 2024 foi uma operação de ransomware. O invasor teria explorado a vulnerabilidade CVE-2024-0012 no software PAN-OS da Palo Alto Networks para comprometer a empresa-alvo e, posteriormente, criptografar os sistemas com o ransomware RA World.
Pesquisas anteriores da Cisco Talos e da Unidade 42 da Palo Alto Networks indicam que o RA World, anteriormente chamado de RA Group, tem ligações com o grupo chinês Bronze Starlight (Storm-401 ou Emperor Dragonfly). Este grupo tem histórico de ataques utilizando ransomware de curta duração como cobertura para suas atividades.
A Symantec especula que o ataque pode ter sido conduzido por um agente isolado tentando obter ganhos financeiros. Essa estratégia já foi observada entre hackers iranianos e norte-coreanos, onde grupos de espionagem patrocinados pelo Estado recebem permissão para conduzir ataques lucrativos como forma de financiamento paralelo.
Notícias Relacionadas
Steam remove
Steam remove demo maliciosa que espalhava malware no Windows
A Valve removeu da Steam a demo de Sniper: Phantom's Resolution, após denúncias de que o instalador continha malware que roubava informações dos usuários.
Segurança cibernética
Medusa ransomware utiliza driver malicioso para desativar anti-malware com certificados comprometidos
O ransomware Medusa emprega a técnica BYOVD para desativar sistemas de segurança usando um driver malicioso assinado com certificados roubados. O ataque compromete a proteção de endpoints, permitindo escalonamento de privilégios e exfiltração de dados.
Expansão dos ataques e novas ameaças
Enquanto o RA World chama atenção, outro grupo de hackers chineses, Salt Typhoon, está explorando vulnerabilidades em dispositivos Cisco (CVE-2023-20198 e CVE-2023-20273) para violar redes globais. Entre as vítimas estão um provedor de telecomunicações no Reino Unido, uma empresa sul-africana e universidades em diversos países.
Os ataques, ocorridos entre dezembro de 2024 e janeiro de 2025, envolvem a exploração de dispositivos Cisco para criar backdoors e exfiltrar dados. O Salt Typhoon também se concentra em pesquisas acadêmicas sobre tecnologia e telecomunicações, visando instituições renomadas como a UCLA e a TU Delft.
Medidas de segurança
Para se proteger contra essas ameaças, é fundamental que organizações:
- Apliquem rapidamente patches de segurança em dispositivos vulneráveis;
- Evitem expor interfaces administrativas à internet;
- Implementem soluções de monitoramento e resposta a ameaças.
O crescente envolvimento de agentes de espionagem em ataques de ransomware destaca a necessidade de uma segurança digital mais robusta, especialmente em setores críticos como telecomunicações e governamental.
