Hack Alerta

APT Likho blindado ataca entidades governamentais e de energia elétrica

APT Likho ataca entidades governamentais e de energia elétrica com RATs modulares, combinando espionagem e motivação financeira em campanhas ativas.

Perfil da Ameaça Likho

O ator de ameaça Likho, agora identificado como "Armored Likho", tem sido alvo de investigações de segurança devido ao seu foco em entidades governamentais e do setor de energia elétrica. Este grupo utiliza RATs modulares e exfiltadores de informações em campanhas motivadas financeiramente e de espionagem cibernética. A natureza híbrida de suas operações, combinando ganho financeiro com espionagem, torna a Likho uma ameaça particularmente complexa para as defesas de segurança.

A análise de suas táticas, técnicas e procedimentos (TTPs) revela um grupo sofisticado que adapta suas ferramentas para contornar defesas modernas. O uso de RATs modulares permite que o grupo altere suas capacidades conforme necessário, dificultando a detecção baseada em assinatura. A persistência é mantida através de múltiplos vetores, garantindo que o acesso seja preservado mesmo se uma parte da infraestrutura for comprometida.

Alvos e Motivação

Os alvos principais incluem entidades governamentais e empresas de energia elétrica, setores críticos que são frequentemente visados por grupos de espionagem estatal e criminosos organizados. A motivação financeira sugere que o Likho pode estar vendendo acesso ou dados para outros grupos, ou utilizando os recursos comprometidos para mineração de criptomoedas e outros crimes cibernéticos.

A espionagem cibernética indica que o grupo busca informações sensíveis sobre políticas governamentais, infraestrutura crítica e planos estratégicos. A combinação de motivações financeiras e de espionagem torna a Likho uma ameaça versátil que pode operar em diferentes frentes simultaneamente.

Técnicas de Infiltração e Persistência

O Likho utiliza RATs modulares que podem ser atualizados remotamente com novas funcionalidades. Isso permite que o grupo responda rapidamente a mudanças nas defesas do alvo. A exfiltração de dados é realizada de forma silenciosa, muitas vezes misturando-se ao tráfego de rede legítimo para evitar detecção.

A persistência é mantida através de múltiplos vetores, incluindo tarefas agendadas, serviços do Windows e modificações no registro. O grupo também utiliza técnicas de ofuscação para esconder seus arquivos e processos de ferramentas de análise forense. A capacidade de se mover lateralmente dentro da rede é uma característica chave, permitindo que o grupo alcance sistemas críticos a partir de pontos de entrada iniciais.

Implicações para Infraestrutura Crítica

O foco em entidades de energia elétrica e governamentais levanta preocupações significativas sobre a segurança da infraestrutura crítica. Um comprometimento bem-sucedido pode levar à interrupção de serviços essenciais, vazamento de dados sensíveis e potencialmente a danos físicos se os sistemas de controle industrial forem afetados.

Organizações que operam infraestrutura crítica devem revisar imediatamente suas defesas contra ameaças avançadas persistentes. Isso inclui a implementação de monitoramento contínuo de rede, segmentação de rede rigorosa e testes de invasão regulares para identificar vulnerabilidades antes que sejam exploradas por atacantes.

Recomendações para CISOs

As equipes de segurança devem priorizar a detecção de atividades anômalas em sistemas críticos. Implemente soluções de detecção que monitorem o comportamento de rede e o uso de recursos do sistema. A segmentação de rede é crucial para limitar o movimento lateral e proteger ativos críticos.

A conscientização dos usuários sobre phishing e engenharia social deve ser reforçada, pois este é frequentemente o vetor de entrada inicial. Mantenha backups offline e testados regularmente para garantir a recuperação em caso de ataque bem-sucedido. A colaboração com comunidades de inteligência de ameaças pode fornecer insights valiosos sobre as táticas do Likho.

Conclusão

O Armored Likho representa uma ameaça sofisticada que combina motivações financeiras e de espionagem. Seu foco em infraestrutura crítica exige uma resposta de segurança robusta e proativa. A vigilância contínua e a atualização das defesas são essenciais para mitigar o risco desta campanha ativa. A colaboração entre setores público e privado é fundamental para proteger a infraestrutura crítica contra ameaças avançadas.


Baseado em publicação original de SecurityWeek
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.