Un número creciente de actores de amenazas está utilizando la guerra ruso-ucraniana en curso como señuelo en varias campañas de phishing y malware, incluso cuando las entidades de infraestructura crítica continúan siendo un objetivo importante.
“Los actores respaldados por el gobierno de China, Irán, Corea del Norte y Rusia, así como varios grupos no atribuidos, han utilizado varios temas relacionados con la guerra de Ucrania en un esfuerzo por lograr que los objetivos abran correos electrónicos maliciosos o hagan clic en enlaces maliciosos”, dijo Google Threat Analysis Group. (ETIQUETA) Billy Leonard dicho en un informe
“Los actores criminales y motivados financieramente también están utilizando los eventos actuales como un medio para apuntar a los usuarios”, agregó Leonard.
Un actor de amenazas notable es Curious Gorge, que TAG ha atribuido a la Fuerza de Apoyo Estratégico del Ejército Popular de Liberación de China (PLA SSF) y se ha observado atacando organizaciones gubernamentales, militares, de logística y de fabricación en Ucrania, Rusia y Asia Central.
Los ataques dirigidos a Rusia han señalado a varias entidades gubernamentales, como el Ministerio de Relaciones Exteriores, con compromisos adicionales que afectan a los contratistas y fabricantes de defensa rusos, así como a una empresa de logística no identificada.
Los hallazgos siguen a las revelaciones de que un actor de amenazas patrocinado por el gobierno vinculado a China conocido como Mustang Panda (también conocido como presidente de bronce) puede haber estado apuntando a funcionarios del gobierno ruso con una versión actualizada de un troyano de acceso remoto llamado PlugX.
Otro conjunto de ataques de phishing involucró a piratas informáticos APT28 (también conocido como Fancy Bear) dirigidos a usuarios ucranianos con un malware .NET que es capaz de robar cookies y contraseñas de los navegadores Chrome, Edge y Firefox.
También estuvieron implicados grupos de amenazas con sede en Rusia, incluidos Turla (también conocido como Venomous Bear) y COLDRIVER (también conocido como Calisto), así como un equipo de piratas informáticos bielorruso llamado Ghostwriter en diferentes campañas de phishing de credenciales dirigidas a organizaciones de defensa y ciberseguridad en la región báltica y de alto riesgo. individuos en Ucrania.
Los últimos ataques de Ghostwriter dirigieron a las víctimas a sitios web comprometidos, desde donde los usuarios fueron enviados a una página web controlada por el atacante para recolectar sus credenciales.
En una campaña de phishing no relacionada dirigida a entidades en países de Europa del Este, se detectó a un grupo de piratas informáticos previamente desconocido y motivado financieramente haciéndose pasar por una agencia rusa para implementar una puerta trasera de JavaScript llamada DarkWatchman en las computadoras infectadas.
IBM Security X-Force conectó las intrusiones a un grupo de amenazas que está rastreando bajo el nombre de Hive0117.
“La campaña se hace pasar por comunicaciones oficiales del Servicio de Alguaciles Federales del gobierno ruso, los correos electrónicos en ruso están dirigidos a usuarios en Lituania, Estonia y Rusia en los sectores de Telecomunicaciones, Electrónica e Industrial”, dijo la empresa. dicho.
Los hallazgos se producen cuando Microsoft divulgó que seis actores diferentes alineados con Rusia lanzaron al menos 237 ataques cibernéticos contra Ucrania del 23 de febrero al 8 de abril, incluidos 38 ataques destructivos discretos que destruyeron irrevocablemente archivos en cientos de sistemas en docenas de organizaciones en el país.
Las tensiones geopolíticas y la subsiguiente invasión militar de Ucrania también han alimentado una escalada en los ataques de limpieza de datos destinado a paralizar los procesos de misión crítica y destruir la evidencia forense.
Además, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) reveló detalles de los ataques de denegación de servicio distribuido (DDoS) en curso dirigidos contra portales gubernamentales y de noticias mediante la inyección de JavaScript malicioso (denominado “BrownFlood”) en los sitios comprometidos.
También se han informado ataques DDoS más allá de Ucrania. La semana pasada, la Dirección Nacional de Seguridad Cibernética de Rumania (DNSC) revelado que varios sitios web pertenecientes a instituciones públicas y privadas fueron “objetivo de atacantes que pretendían hacer que estos servicios en línea no estuvieran disponibles”.
Los ataques, reivindicados por un colectivo prorruso llamado Killnet, se producen en respuesta a la decisión de Rumanía de apoyar a Ucrania en el conflicto militar con Rusia.