A Live Demo of SonicWall Capture ATP Against the Latest Malware
Regin é conhecido há anos por empresas de segurança, mas o white paper da Symantec sobre o malware levou vários no último dia a apresentar o que eles sabem.
Não está claro por que as empresas de segurança mantiveram um silêncio coletivo sobre a Regin por tanto tempo. A Symantec disse ter descoberto o Regin há cerca de um ano e que a empresa levou muito tempo para analisá-lo.
[Leia mais: Como remover malware do seu PC Windows]
Em um dia do relatório da Symantec, rival Kaspersky O laboratório publicou um white paper de 28 páginas, indicando que a empresa estava bem preparada para quando Regin se tornou público.A plataforma Regin é considerada altamente sofisticada devido ao uso de criptografia e componentes modulares, o que a torna mais sofisticada. difícil para os analistas descobrirem.
Foi usado contra empresas de telecomunicações, ISPs, pequenas empresas e indivíduos, com o objetivo de coletar credenciais de login e dados sensíveis, incluindo a infiltração de estações de base GSM. A Symantec informou que muitos dos alvos estavam na Rússia e na Arábia Saudita.
A Intercept informou na segunda-feira que foi Regin que atacou a empresa de telecomunicações Belgacom e foi usada contra alvos da União Européia. A publicação disse que sua conclusão é baseada em uma análise técnica do malware e fontes que investigaram esses ataques.
Documentos vazados pelo ex-contratado da Agência de Segurança Nacional dos EUA Edward Snowden indicaram que a Belgacom foi alvo da agência de inteligência britânica Government Communications Headquarters (GCHQ). ) como parte da Operação Socialista, de acordo com Der Spiegel
Os documentos de Snowden revelaram muitos métodos de ataque e alvos da NSA e do GCHQ, que realizaram operações de coleta de dados sofisticadas e extensas.
porta-voz da NSA Vanee M. Vines A Kaspersky Lab escreveu na segunda-feira que obteve uma amostra de malware que infectou o computador de Jean Jacques Quisquater, um conhecido criptógrafo belga que disse que sua agência não comentou a "especulação" do The Intercept. O computador foi alvo de um ataque sofisticado.
Quisquater disse ao IDG News Service em fevereiro que os investigadores da Fede Belga A Unidade de Crime Informático (FCCU) disse a ele que o ataque contra seu laptop estava diretamente relacionado ao incidente da Belgacom.
“Conseguimos obter amostras do caso Quisquater e confirmar que elas pertencem à plataforma Regin”, segundo Kaspersky. white paper.
Ronald Prins, da Fox-IT, uma empresa de computação forense, disse ao The Intercept que sua empresa investigou os ataques contra a Belgacom. Prins disse à publicação que Regin foi o malware mais sofisticado que ele já estudou e que estava "convencido" de que era usado pelos serviços de inteligência dos EUA e do Reino Unido.
Outras empresas de segurança de computadores foram menos diretas sobre o criador de Regin. A Symantec sustentou que acreditava que Regin tinha uma engenharia tão inteligente que deveria ter sido desenvolvida por um Estado-nação, mas não chegou a dar nome a um. Em um comunicado divulgado na segunda-feira, a Symantec afirmou que não encontrou identificadores em Regin. código que indica sua origem e que “não temos evidência suficiente para atribuí-lo a qualquer estado ou agência em particular”.
A empresa finlandesa de segurança de computadores F-Secure viu uma versão inicial do Regin em 2009 e também evitou nomear Antti Tikkanen, diretor de resposta de segurança da F-Secure Labs, escreveu em um post no blog: “Acreditamos que esse malware, para variar, não vem da Rússia ou da China.”
A F-Secure encontrou o Regin em um servidor gerenciado por um de seus clientes no norte da Europa. O servidor estava ocasionalmente travando e mostrando a Tela Azul da Morte, escreveu Tikkanen. A causa foi um driver que acabou sendo um rootkit e uma versão antiga do Regin.
Mikko Hypponen, diretor de pesquisas da F-Secure, escreveu no Twitter que a F-Secure acrescentou detecção para Regin, mas não escreveu sobre isso publicamente devido a preocupações com confidencialidade do cliente.
Hypponen sustentou que a F-Secure acrescentou detecção para Regin em seus produtos e que “nenhum cliente (e nenhum governo) nos pediu para não adicionar detecção em algum malware específico.”
A Microsoft também adotou o Regin, adicionando uma entrada para uma variante em seu banco de dados de malware em 9 de março , 2011. A entrada, no entanto, não contém dados técnicos.
Regin Malware vinculado a ataques contra o Belgacom, conhecido como criptógrafo
Os alvos de Regin levaram a suspeitas de que EUA e Reino Unido possam ter Depois que a Symantec derrubou a Regin no domingo, especialistas em segurança de computadores e empresas estão revelando informações que levam a suspeitas de que EUA e Reino Unido estão envolvidos.
Um Cavalo de Troia baseado em Java conhecido como Adwind e AlienSpy foi renomeado como JSocket e está sendo vendido como um serviço para todos os tipos de invasores, desde cibercriminosos oportunistas até grupos de ciberespionagem.
Trojan de acesso remoto multiplataforma que está sendo abertamente vendido como um serviço para todos os tipos de invasores, desde cibercriminosos oportunistas a grupos de ciberespionagem, tem sido usado para atacar mais de 400.000 sistemas nos últimos três anos. O RAT (Remote Access Tool / Trojan), que dependendo da variante é conhecido como Adwind, AlienSpy, Frutas, Unrecom, Sockrat, jRat ou JSocket, é uma evidência de como o modelo de malware como serviço pode ser bem-sucedido para criadores