A Check Point Research (CPR), uma divisão especializada em Inteligência de Ameaças da Check Point Software, tem mantido um olhar atento sobre as ações do Manticore do Vazio, um agente de ameaças ou coletivo de cibercriminosos do Irã, ligado ao Ministério de Inteligência e Segurança (MOIS) da nação. Este agente de ameaças tem se destacado por sua abordagem única que envolve ataques de aniquilação de dados, muitas vezes acompanhados por operações de influência. Notavelmente, o Manticore do Vazio adotou várias identidades virtuais para conduzir suas operações, sendo as mais notáveis “Justiça da Pátria” para ataques na Albânia e “Karma” para operações direcionadas a Israel.
O Surgimento do Manticore do Vazio
O Manticore do Vazio emergiu como uma ameaça significativa para qualquer um que se opõe aos interesses iranianos. Suas operações são caracterizadas por uma abordagem dupla, que combina guerra psicológica com a aniquilação real de dados. Os pesquisadores da CPR desvendaram as estratégias empregadas por este cibercriminoso, revelando uma complexa rede de indivíduos online, parcerias estratégicas e metodologias de ataque avançadas.
Colaboração com o Manticore Marcado
De acordo com a análise dos pesquisadores, o Manticore do Vazio e sua colaboração com o Manticore Marcado amplificam o impacto de seus ciberataques. Um aspecto notável das operações do Manticore do Vazio é sua parceria com o Manticore Marcado, outro grupo de ameaças iraniano também ligado ao MOIS.
A análise revela a transferência de objetivos entre os dois grupos, indicando um esforço coordenado para realizar atividades destrutivas contra vítimas selecionadas. O Manticore Marcado inicialmente acessa os dados das redes selecionadas e os filtra, após isso passa o controle para o Manticore do Vazio, que executa a fase destrutiva da operação. Esta parceria estratégica não só amplia a escala e o impacto de seus ataques, mas também representa um enorme desafio para os responsáveis pela cibersegurança.
Técnicas, Táticas e Procedimentos
As táticas do Manticore do Vazio são relativamente simples, mas eficazes. Geralmente, eles utilizam ferramentas básicas de acesso público para invadir as redes alvo. Uma vez dentro, eles implantam wipers personalizados para sistemas Windows e Linux, direcionados a arquivos críticos e tabelas de partições para tornar os dados inacessíveis. Além disso, o grupo realiza atividades manuais de destruição de dados, o que amplifica ainda mais o impacto de seus ataques.
O Manticore do Vazio emprega uma série de wipers personalizados para executar suas operações destrutivas com eficácia. Esses wipers servem para o apagamento seletivo de informações críticas e causam danos muito específicos a aplicações, dados de usuário e à funcionalidade do sistema. Outros se concentram em atacar a tabela de partições do sistema, apagando-a para tornar todos os dados do disco inacessíveis, apesar de permanecerem inalterados no meio de armazenamento.
“No panorama em constante evolução da cibersegurança, é fundamental nos mantermos alertas e proativos para defesas contra as ameaças emergentes”, explica Sergey Shykevich, gerente do grupo de Inteligência de Ameaças da Check Point Software. “À medida que o Manticore do Vazio e outros cibercriminosos continuam a se adaptar e evoluir, a colaboração contínua entre pesquisadores de cibersegurança, entidades governamentais e empresas do setor privado será essencial para contrapor os desafios impostos pelas agressões cibernéticas patrocinadas por Estados.”