El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advierte sobre intentos continuos de actores de amenazas desconocidos de hacerse pasar por la agencia de ciberseguridad enviando solicitudes de conexión a AnyDesk.
Las solicitudes de AnyDesk afirman ser para realizar una auditoría para evaluar el “nivel de seguridad”, agregó CERT-UA, advirtiendo a las organizaciones que estén atentas a intentos de ingeniería social que buscan explotar la confianza del usuario.
“Es importante tener en cuenta que CERT-UA puede, bajo determinadas circunstancias, utilizar software de acceso remoto como AnyDesk”, CERT-UA dicho. “Sin embargo, tales acciones se toman sólo después de un acuerdo previo con los propietarios de los objetos de ciberdefensa a través de canales de comunicación oficialmente aprobados”.
Sin embargo, para que este ataque tenga éxito, es necesario que el software de acceso remoto AnyDesk esté instalado y operativo en la computadora del objetivo. También requiere que el atacante esté en posesión del objetivo. Identificador de AnyDesklo que sugiere que es posible que primero tengan que obtener el identificador a través de otros métodos.
Para mitigar el riesgo que representan estos ataques, es esencial que los programas de acceso remoto estén habilitados solo mientras dure su uso y que el acceso remoto se coordine a través de canales de comunicación oficiales.
La noticia de la campaña llega cuando el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) reveló que el centro de respuesta a incidentes de la agencia cibernética detectó más de 1.042 incidentes en 2024, y los códigos maliciosos y los esfuerzos de intrusión representaron más del 75% de todos los eventos.
“En 2024, los grupos de ciberamenazas más activos fueron UAC-0010, UAC-0050 y UAC-0006, especializados en ciberespionaje, robo financiero y operaciones de información psicológica”, señala el SSSCIP. dicho.
Se estima que UAC-0010, también conocido como Aqua Blizzard y Gamaredon, está detrás de 277 incidentes. Se ha descubierto que UAC-0050 y UAC-0006 están relacionados con 99 y 174 incidentes, respectivamente.
El desarrollo también sigue al descubrimiento de 24 dominios de nivel superior .shop no reportados previamente, probablemente asociados con el grupo de piratería prorruso conocido como GhostWriter (también conocido como TA445, UAC-0057 y UNC1151) al conectar campañas dispares dirigidas a Ucrania el año pasado.
Un análisis realizado por el investigador de seguridad Will Thomas (@BushidoToken) descubrió que los dominios utilizados en estas campañas utilizaban el mismo dominio genérico de nivel superior (gTLD), el registrador PublicDomainsRegistry y los servidores de nombres Cloudflare. Todos los servidores identificados también tienen configurado un directorio robots.txt.
A medida que la guerra ruso-ucraniana se acerca al final de su tercer año, también se han registrado ataques cibernéticos contra Rusia con el objetivo de robar datos confidenciales e interrumpir las operaciones comerciales mediante implementando ransomware.
La semana pasada, la empresa de ciberseguridad FACCT atribuido el actor Sticky Werewolf a una campaña de phishing dirigida contra empresas rusas de investigación y producción para entregar un troyano de acceso remoto conocido como Ozone que es capaz de otorgar acceso remoto a sistemas Windows infectados.
También describió a Sticky Werewolf como un grupo de ciberespionaje proucraniano que apunta principalmente a instituciones estatales, institutos de investigación y empresas industriales en Rusia. Sin embargo, un análisis previo de la empresa israelí de ciberseguridad Morphisec señaló que esta conexión “sigue siendo incierta”.
No se sabe qué tan exitosos fueron estos ataques. Algunos de los otros grupos de actividades de amenazas que se han observado dirigidos a entidades rusas en los últimos meses incluyen Hombre lobo central, Lobo de aventuray Hombre lobo de papel (también conocido como CAFÉ), el último de los cuales ha aprovechado un módulo IIS malicioso llamado Owowa para facilitar el robo de credenciales.
About the Author
