Tue, 04/05/2022 - 22:52

Los documentos sobre la guerra entre Rusia y Ucrania se convierten en un señuelo para el ciberespionaje

Los documentos sobre la guerra entre Rusia y Ucrania se convierten en un señuelo para el ciberespionaje
Check Point Research ha identificado víctimas en Nicaragua, Venezuela, Israel, Arabia Saudí y Pakistán de los sectores gubernamental, financiero y energético.

Los investigadores siguen observando un aumento de los ciberataques desde el comienzo de la guerra tanto en Ucrania como en Rusia, un 39% y un 22% respectivamente. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.

Nombre del APT Origen APT Sector al que se dirige Países objetivo
El Machete Países hispanohablantes Financiero, Gubernamental Nicaragua, Venezuela
Lyceum La República Islámica de Irán Energía Israel, Arabia Saudí
SideWinder Posiblemente la India Desconocido Pakistán

Características del malware
Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen:
• Keylogging: roba todo aquello que se introduce mediante el teclado.
• Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
• Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
• Captura de pantalla.
• Recogida de datos del portapapeles.
• Ejecución de comandos.
Metodología de ataque
El Machete
1. Correo electrónico de spear-phishing con texto sobre Ucrania.
2. Documento de Word adjunto con un artículo versado en Ucrania.
3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
4. Malware descargado en el PC.
Lyceum
1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
2. El documento ejecuta un macrocódigo cuando se cierra el documento.
3. El archivo .exe se guarda en el PC.
4. La próxima vez que se reinicie el PC se iniciará el malware.
SideWinder
1. La víctima abre el documento malicioso.
2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
4. Malware en el PC de la víctima.
Los documentos con temática de Rusia/Ucrania se convierten en un señuelo
El Machete:
Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.
Lyceum:
A mediados de marzo, una empresa energética israelí recibió un email de la dirección inews-reporter@protonmail[.]com con el asunto “Crímenes de guerra rusos en Ucrania”. El mensaje contenía unas cuantas imágenes extraídas de medios de comunicación públicos y contenía un enlace a un artículo alojado en el dominio news-spot[.]live. Este enlace conducía a un documento que tenía el artículo “Researchers gather evidence of possible Russian war crimes in Ukraine”, publicado por The Guardian. El mismo dominio albergaba otros documentos maliciosos relacionados con Rusia y con la guerra entre Rusia y Ucrania, como una copia de un texto de The Atlantic Council de 2020 sobre las armas nucleares rusas, y una oferta de trabajo para un agente de “extracción/protección” en Ucrania.
SideWinder:
Este documento malicioso de Sidewinder, que también se aprovecha de la guerra entre Rusia y Ucrania, se subió a VirusTotal (VT) a mediados de marzo. A juzgar por su contenido, los objetivos previstos son entidades pakistaníes; el cebo contiene un texto del Instituto Nacional de Asuntos Marítimos de la Universidad Bahria en Islamabad, y se titula “Charla centrada en el impacto del conflicto ruso-ucraniano en Pakistán”. Este archivo malicioso utiliza la inyección remota de plantillas. Cuando se abre, recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Creemos firmemente que todas estas están diseñadas con la principal motivación del ciberespionaje. Nuestros descubrimientos muestran una clara tendencia: las actividades colaterales en torno a la guerra entre Rusia y Ucrania se han convertido en un señuelo para los grupos de amenazas de todo el mundo. Recomiendo encarecidamente a los gobiernos, los bancos y las empresas energéticas que reiteren la concienciación y la educación en ciberseguridad a sus empleados, y que apliquen soluciones de ciberseguridad que protejan su red a todos los niveles”, concluye Ivonne Pedraza.
Últimas cifras globales de ciberataques a Ucrania, Rusia y los países de la OTAN
Recientemente, Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después de su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. Asimismo, se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto. Los investigadores han compartido los datos de ciberataques de los países y regiones de la OTAN, entre otros.

Likes

  • Likes 0
  • Compartelo en: