Segundo a empresa, os dados podem ter sido vendidos em fóruns de hacking ou usados em ataques para roubar dinheiro ou exfiltrar informação sensível. Com base nesta informação, a equipa de resposta a incidentes do grupo (CERT-GIB) avisou de imediato as equipas CERT dos países afetados.
De entre os países mais afetados encontram-se a Itália (52%), Arábia Saudita (22%) e Portugal (5%).
Como ocorreu o roubo?
Os ciber-criminosos usaram keyloggers, formulários - Pony Formgrabber, AZORult and Qbot (Qakbot) -, emails de phishing. Na origem de tudo, esteve um malware incluido em anexo de email disfarçado de ficheiro legítimo. Assim que fosse aberto, libertava e corria um Trojan direcionado a roubar informação pessoal.
--> Pony Formgrabber: pegava nas credenciais de login de ficheiros de configuração, bases de bases, armazenamentos secretos de mais de 70 programas no computador da vítima e depois enviava a informação recolhida ao servidor de Comando e Controlo (C&C).
--> AZORult: além de roubar passwords de browsers populares, também conseguia roubar dados de criptomoedas.
--> O worm, o Qbot: conseguia recolher credenciais usando um keylogger, roubava também os cookies e certificados, sessões ativas de Internet e redirecionava os utilizadores a sites falsos.
Basta os atacantes conseguirem os dados de um empregado do governo para conseguir aceder às informações mais sensíveis de um país.
Prevenção
O grupo aconselha todos os utilizadores a usarem software de AV devidamente atualizado de forma a conseguirem eliminar até as ameaças mais avançadas e recentes.
Mais informações: https://news.bloomberglaw.com/privacy-and-data-security/government-sites-across-world-leakeduserdata-russia-firm-says-1