Un sofisticado grupo de ciberdelincuentes provenientes de Rusia ha sido atrapado tratando de atacar a un equipo del gobierno occidental ubicado en Ucrania.
En un momento en que las tensiones entre Rusia y Ucrania son altas, con los líderes mundiales preocupados de que Rusia tenga la intención de invadir, ya hay una guerra digital al alcance de la mano.
En las últimas semanas, Ucrania ha sido objeto de desfiguración y manipulación de numerosos sitios web administrados por el gobierno, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) advirtió que se está utilizando malware destructivo en ataques contra organizaciones ucranianas, y el Departamento del Tesoro de EE. UU. ha sancionado a ciudadanos ucranianos por supuestamente tratando de ayudar a crear «inestabilidad» antes de una posible invasión.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido también insta a las organizaciones a aumentar sus defensas a la luz de los recientes ataques cibernéticos contra Ucrania.
Ahora, investigadores de Palo Alto Networks han descubierto actividad en curso contra Ucrania realizada por Primitive Bear/Gamaredon, un grupo de amenazas persistentes avanzadas (APT) de origen ruso.
El equipo dice que si bien no hay evidencia de que Primitive Bear sea responsable de ninguno de los recientes ataques publicitados, como «una de las amenazas persistentes avanzadas existentes más activas dirigidas a Ucrania, anticipamos que veremos actividades cibernéticas maliciosas adicionales en las próximas semanas». a medida que evoluciona el conflicto».
Además: los piratas informáticos de Arid Viper atacan Palestina con señuelos políticos y troyanos
Desde 2013, antes de que Rusia anexara Crimea, Primitive Bear se ha centrado en los ataques contra funcionarios y organizaciones del gobierno ucraniano en el país.
La Unidad 42 de Palo Alto ha estado rastreando el APT desde entonces y ahora ha mapeado tres grupos utilizados en campañas que se vinculan a más de 700 dominios maliciosos, 215 direcciones IP y un conjunto de herramientas de más de 100 muestras de malware.
El 19 de enero, Primitive Bear intentó atacar las redes de una «entidad gubernamental occidental» no identificada en Ucrania.
El vector de ataque inicial es interesante: en lugar de enviar un correo electrónico de phishing típico, los atacantes buscaron una lista de trabajos activa en el departamento y cargaron un descargador malicioso dentro de un currículum.
«Dados los pasos y la entrega de precisión involucrada en esta campaña, parece que esto puede haber sido un intento específico y deliberado de Primitive Bear/Gamaredon para comprometer a esta organización gubernamental occidental», señalan los investigadores.
También hay evidencia de que Primitive Bear se ha dirigido al Servicio Estatal de Migración de Ucrania con correos electrónicos de phishing.
Según lo revelado por CERT Estonia (.PDF), APT ha utilizado macros maliciosas en archivos adjuntos de plantilla .dox/.dot para ejecutar malware de limpieza en el pasado.
«Como las tensiones internacionales en torno a Ucrania siguen sin resolverse, es probable que las operaciones de Gamaredon sigan centrándose en los intereses rusos en la región», dice Palo Alto. «Si bien hemos mapeado tres grandes grupos de infraestructura de Gamaredon actualmente activa, creemos que hay más que aún no se han descubierto».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
