Segundo a empresa, os dados podem ter sido vendidos em fóruns de hacking ou usados em ataques para roubar dinheiro ou exfiltrar informação sensível. Com base nesta informação, a equipa de resposta a incidentes do grupo (CERT-GIB) avisou de imediato as equipas CERT dos países afetados.

De entre os países mais afetados encontram-se a Itália (52%), Arábia Saudita (22%) e Portugal (5%).

Como ocorreu o roubo?

Os ciber-criminosos usaram keyloggers, formulários - Pony Formgrabber, AZORult and Qbot (Qakbot) -, emails de phishing. Na origem de tudo, esteve um malware incluido em anexo de email disfarçado de ficheiro legítimo. Assim que fosse aberto, libertava e corria um Trojan direcionado a roubar informação pessoal.

--> Pony Formgrabber: pegava nas credenciais de login de ficheiros de configuração, bases de bases, armazenamentos secretos de mais de 70 programas no computador da vítima e depois enviava a informação recolhida ao servidor de Comando e Controlo (C&C).

--> AZORult: além de roubar passwords de browsers populares, também conseguia roubar dados de criptomoedas.

--> O worm, o Qbot: conseguia recolher credenciais usando um keylogger, roubava também os cookies e certificados, sessões ativas de Internet e redirecionava os utilizadores a sites falsos.

Basta os atacantes conseguirem os dados de um empregado do governo para conseguir aceder às informações mais sensíveis de um país.

Prevenção

O grupo aconselha todos os utilizadores a usarem software de AV devidamente atualizado de forma a conseguirem eliminar até as ameaças mais avançadas e recentes.

Mais informações: https://news.bloomberglaw.com/privacy-and-data-security/government-sites-across-world-leakeduserdata-russia-firm-says-1