Los documentos sobre la guerra entre Rusia y Ucrania se convierten en un señuelo para el ciberespionaje

Los investigadores siguen observando un aumento de los ciberataques desde el comienzo de la guerra tanto en Ucrania como en Rusia, un 39% y un 22% respectivamente

 Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.

Nombre del APTOrigen APTSector al que se dirigePaíses objetivo
El MachetePaíses hispanohablantesFinanciero, Gubernamental Nicaragua, Venezuela  
LyceumLa República Islámica de IránEnergíaIsrael, Arabia Saudí 
SideWinderPosiblemente la IndiaDesconocidoPakistán

Características del malware

Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen: 

  • Keylogging: roba todo aquello que se introduce mediante el teclado.  
  • Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
  • Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
  • Captura de pantalla.
  • Recogida de datos del portapapeles.
  • Ejecución de comandos.

Metodología de ataque

El Machete 

  1. Correo electrónico de spear-phishing con texto sobre Ucrania.
  2. Documento de Word adjunto con un artículo versado en Ucrania.
  3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
  4. Malware descargado en el PC.

Lyceum

  1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
  2. El documento ejecuta un macrocódigo cuando se cierra el documento.
  3. El archivo .exe se guarda en el PC.
  4. La próxima vez que se reinicie el PC se iniciará el malware.

SideWinder 

  1. La víctima abre el documento malicioso.
  2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
  3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
  4. Malware en el PC de la víctima.

Los documentos con temática de Rusia/Ucrania se convierten en un señuelo

El Machete

Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.

El_Machete_doc

Figura 1 – Documento señuelo que contiene un artículo sobre el conflicto Rusia-Ucrania, enviado por El Machete APT a instituciones financieras nicaragüenses.

Lyceum:

A mediados de marzo, una empresa energética israelí recibió un email de la dirección inews-reporter@protonmail[.]com con el asunto “Crímenes de guerra rusos en Ucrania”. El mensaje contenía unas cuantas imágenes extraídas de medios de comunicación públicos y contenía un enlace a un artículo alojado en el dominio news-spot[.]live. Este enlace conducía a un documento que tenía el artículo Researchers gather evidence of possible Russian war crimes in Ukraine, publicado por The Guardian. El mismo dominio albergaba otros documentos maliciosos relacionados con Rusia y con la guerra entre Rusia y Ucrania, como una copia de un texto de The Atlantic Council de 2020 sobre las armas nucleares rusas, y una oferta de trabajo para un agente de “extracción/protección” en Ucrania.

Interfaz de usuario gráfica, Sitio web

Descripción generada automáticamente

Figura 2. Correo electrónico de reclamo utilizando el tema del conflicto Rusia-Ucrania, enviado por el grupo Lyceum.

Lyceum_more_lures

Figura 3 – Documentos señuelo relacionados con la guerra entre Rusia y Ucrania utilizados por el grupo Lyceum APT.

SideWinder:

Este documento malicioso de Sidewinder, que también se aprovecha de la guerra entre Rusia y Ucrania, se subió a VirusTotal (VT) a mediados de marzo. A juzgar por su contenido, los objetivos previstos son entidades pakistaníes; el cebo contiene un texto del Instituto Nacional de Asuntos Marítimos de la Universidad Bahria en Islamabad, y se titula “Charla centrada en el impacto del conflicto ruso-ucraniano en Pakistán”. Este archivo malicioso utiliza la inyección remota de plantillas. Cuando se abre, recupera una plantilla remota de un servidor controlado por el ciberdelincuente.

Sidewinder

Figura 4 – Modelo de carta relacionado con la guerra entre Rusia y Ucrania, usado por Sidewinder APT.

“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Creemos firmemente que todas estas están diseñadas con la principal motivación del ciberespionaje. Nuestros descubrimientos muestran una clara tendencia: las actividades colaterales en torno a la guerra entre Rusia y Ucrania se han convertido en un señuelo para los grupos de amenazas de todo el mundo. Recomiendo encarecidamente a los gobiernos, los bancos y las empresas energéticas que reiteren la concienciación y la educación en ciberseguridad a sus empleados, y que apliquen soluciones de ciberseguridad que protejan su red a todos los niveles”, concluye Nieva.

Últimas cifras globales de ciberataques a Ucrania, Rusia y los países de la OTAN 

Recientemente, Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. Asimismo, se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto. Los investigadores han compartido los datos de ciberataques de los países y regiones de la OTAN, entre otros.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba