Hactivistas Expandem Alcance Geográfico de Ataques, Foco em Lucro Crescente
Especialistas da Kaspersky identificam grupos de hacktivismo, antes focados na Rússia, agora mirando organizações em países como Cazaquistão, Emirados Árabes Unidos, Síria e Egito. A mudança sugere um afastamento de motivações ideológicas para ganhos financeiros.
MundiX News·09 de junho de 2026·5 min de leitura·👁 8 views
Especialistas da Kaspersky detectaram que diversos grupos de hacktivismo, que anteriormente concentravam seus ataques em organizações russas, começaram a buscar vítimas em outros países. O foco expandido agora inclui Cazaquistão, Emirados Árabes Unidos, Síria e Egito, com alvos que abrangem estruturas governamentais, instituições médicas e o setor de aviação.
A investigação teve como ponto de partida a compromissão de uma organização russa não especificada. Com base nos indicadores encontrados, os especialistas identificaram outras infraestruturas atacadas e constataram que a atividade dos criminosos digitais transcende a agenda "ideológica" habitual. Os pesquisadores analisaram primariamente as campanhas do grupo 4BID, mas descobriram rastros de "Hacker's Whale" (Хакерский кит), C.A.S e Goffee nas mesmas redes, o que pode indicar operações conjuntas ou conexões entre esses grupos.
Na maioria dos casos, os ataques iniciaram-se pela exploração de vulnerabilidades no Microsoft Exchange, incluindo a conhecida falha ProxyShell. Posteriormente, os atacantes implantavam um web shell (fd.aspx) na máquina da vítima, executavam PowerShell ou cmd.exe para coletar informações do sistema e baixavam ferramentas adicionais. O arsenal dos hacktivistas demonstrou ser diversificado, combinando malware customizado, frameworks de C2 públicos e software legítimo de duplo uso. Exemplos incluem o uso de AnyDesk, Advanced IP Scanner, Dev Tunnels, Panorama9, Nezha Monitoring e Tactical RMM. Curiosamente, parte dos scripts utilizados para a entrega das utilidades parecia ter sido gerada por Inteligência Artificial (IA). Em algumas infraestruturas comprometidas, foram encontradas diferentes versões do mesmo instrumento, com algumas delas não funcionando corretamente, o que, segundo os especialistas, pode indicar o uso de IA no desenvolvimento, onde o código gerado frequentemente requer ajustes adicionais e nem sempre opera de forma impecável logo após sua criação.
O principal instrumento nos ataques analisados foi uma versão atualizada do malware Blackout Locker. Este ransomware agora possui a capacidade não apenas de criptografar arquivos, mas também de executar um bloqueador de tela. Ele se estabelece no sistema através do Agendador de Tarefas e de elementos de inicialização automática. Mesmo que a janela do locker seja fechada (caso a vítima descubra a senha correta e a insira), o malware pode ser reativado. Durante a análise, os pesquisadores também descobriram um backdoor previamente desconhecido, o BlackSalt, que funciona como um reverse shell. Este backdoor recebe comandos de um servidor de controle e os executa via cmd.exe.
Além disso, o ransomware ClearWater, associado às atividades de "Hacker's Whale" e C.A.S, foi observado nas infraestruturas das vítimas. Ele criptografa arquivos, adiciona a extensão .clear, deixa uma nota de resgate (CLEARWATER_README.txt), altera o papel de parede e tenta dificultar a recuperação do sistema, removendo cópias de sombra e pontos de restauração. Os pesquisadores também destacam o uso ativo de EDR killers (como kil.exe, Killer.exe e GhostDriver.exe) em suas campanhas. Essas ferramentas empregam a técnica BYOVD (Bring Your Own Vulnerable Driver) para explorar drivers vulneráveis e encerrar processos de soluções de segurança.
A mudança de comportamento observada sugere que os hacktivistas estão gradualmente se afastando de ataques puramente ideológicos e agindo cada vez mais por motivos financeiros. Um membro do grupo 4BID chegou a declarar que os ataques à Rússia não são mais rentáveis. "A mudança de prioridades dos hacktivistas — de ataques exclusivamente motivados por ideologia em uma região para campanhas com foco comercial em vários países — indica que organizações em diferentes partes do mundo podem entrar no radar dos criminosos digitais", concluem os analistas da Kaspersky.
Especialistas da Kaspersky detectaram que diversos grupos de hacktivismo, que anteriormente concentravam seus ataques em organizações russas, começaram a buscar vítimas em outros países. O foco expandido agora inclui Cazaquistão, Emirados Árabes Unidos, Síria e Egito, com alvos que abrangem estruturas governamentais, instituições médicas e o setor de aviação.
A investigação teve como ponto de partida a compromissão de uma organização russa não especificada. Com base nos indicadores encontrados, os especialistas identificaram outras infraestruturas atacadas e constataram que a atividade dos criminosos digitais transcende a agenda "ideológica" habitual. Os pesquisadores analisaram primariamente as campanhas do grupo 4BID, mas descobriram rastros de "Hacker's Whale" (Хакерский кит), C.A.S e Goffee nas mesmas redes, o que pode indicar operações conjuntas ou conexões entre esses grupos.
Na maioria dos casos, os ataques iniciaram-se pela exploração de vulnerabilidades no Microsoft Exchange, incluindo a conhecida falha ProxyShell. Posteriormente, os atacantes implantavam um web shell (fd.aspx) na máquina da vítima, executavam PowerShell ou cmd.exe para coletar informações do sistema e baixavam ferramentas adicionais. O arsenal dos hacktivistas demonstrou ser diversificado, combinando malware customizado, frameworks de C2 públicos e software legítimo de duplo uso. Exemplos incluem o uso de AnyDesk, Advanced IP Scanner, Dev Tunnels, Panorama9, Nezha Monitoring e Tactical RMM. Curiosamente, parte dos scripts utilizados para a entrega das utilidades parecia ter sido gerada por Inteligência Artificial (IA). Em algumas infraestruturas comprometidas, foram encontradas diferentes versões do mesmo instrumento, com algumas delas não funcionando corretamente, o que, segundo os especialistas, pode indicar o uso de IA no desenvolvimento, onde o código gerado frequentemente requer ajustes adicionais e nem sempre opera de forma impecável logo após sua criação.
O principal instrumento nos ataques analisados foi uma versão atualizada do malware Blackout Locker. Este ransomware agora possui a capacidade não apenas de criptografar arquivos, mas também de executar um bloqueador de tela. Ele se estabelece no sistema através do Agendador de Tarefas e de elementos de inicialização automática. Mesmo que a janela do locker seja fechada (caso a vítima descubra a senha correta e a insira), o malware pode ser reativado. Durante a análise, os pesquisadores também descobriram um backdoor previamente desconhecido, o BlackSalt, que funciona como um reverse shell. Este backdoor recebe comandos de um servidor de controle e os executa via cmd.exe.
Além disso, o ransomware ClearWater, associado às atividades de "Hacker's Whale" e C.A.S, foi observado nas infraestruturas das vítimas. Ele criptografa arquivos, adiciona a extensão .clear, deixa uma nota de resgate (CLEARWATER_README.txt), altera o papel de parede e tenta dificultar a recuperação do sistema, removendo cópias de sombra e pontos de restauração. Os pesquisadores também destacam o uso ativo de EDR killers (como kil.exe, Killer.exe e GhostDriver.exe) em suas campanhas. Essas ferramentas empregam a técnica BYOVD (Bring Your Own Vulnerable Driver) para explorar drivers vulneráveis e encerrar processos de soluções de segurança.
A mudança de comportamento observada sugere que os hacktivistas estão gradualmente se afastando de ataques puramente ideológicos e agindo cada vez mais por motivos financeiros. Um membro do grupo 4BID chegou a declarar que os ataques à Rússia não são mais rentáveis. "A mudança de prioridades dos hacktivistas — de ataques exclusivamente motivados por ideologia em uma região para campanhas com foco comercial em vários países — indica que organizações em diferentes partes do mundo podem entrar no radar dos criminosos digitais", concluem os analistas da Kaspersky.
