Clicky

Ucrania continúa enfrentando ataques de ciberespionaje de hackers rusos

Hackers de Gamaredon

Los ataques de Gamaredon generalmente se originan con correos electrónicos de phishing

Investigadores de ciberseguridad dijeron el lunes que descubrieron evidencia de intentos de ataques por parte de una operación de piratería vinculada a Rusia contra una entidad ucraniana en julio de 2021.

Symantec, propiedad de Broadcom, en un nuevo informe publicado el lunes, atribuyó los ataques a un actor rastreado como Gamaredon (también conocido como Shuckworm o Armageddon), un colectivo de ciberespionaje conocido por estar activo desde al menos 2013.

En noviembre de 2021 las agencias de inteligencia ucranianas calificaron al grupo como un "proyecto especial" del Servicio Federal de Seguridad (FSB) de Rusia, además de señalarlo con el dedo acusador de llevar a cabo más de 5.000 ciberataques contra autoridades públicas e infraestructuras críticas ubicadas en el país.

Los ataques de Gamaredon generalmente se originan con correos electrónicos de phishing que engañan a los destinatarios para que instalen un troyano de acceso remoto personalizado llamado Pterodo. Symantec reveló que, entre el 14 de julio de 2021 y el 18 de agosto de 2021, el actor instaló varias variantes de la puerta trasera e implementó scripts y herramientas adicionales.

"La cadena de ataque comenzó con un documento malicioso, probablemente enviado a través de un correo electrónico de phishing, que fue abierto por el usuario de la máquina infectada", dijeron los investigadores. La identidad de la organización afectada no fue revelada.

Hacia fines de julio, el adversario aprovechó el implante para descargar y ejecutar un archivo ejecutable que actuó como cuentagotas para un cliente VNC antes de establecer conexiones con un servidor remoto de comando y control bajo su control.

"Este cliente VNC parece ser la carga útil final para este ataque", señalaron los investigadores, y agregaron que a la instalación le siguió el acceso a una serie de documentos que van desde descripciones de puestos hasta información confidencial de la empresa en la máquina comprometida.

Ucrania denuncia operación de bandera falsa en ataques con limpiadores

Los hallazgos se producen en medio de una ola de perturbadores y destructivos ataques perpetrados contra entidades ucranianas por presuntos actores patrocinados por el estado ruso, lo que resultó en la implementación de un limpiador de archivos denominado WhisperGate, casi al mismo tiempo que se desfiguraron varios sitios web pertenecientes al gobierno.

La investigación posterior del malware ha revelado desde entonces que el código utilizado en el limpiador (Wiper Attack) se reutilizó a partir de una campaña de falso ransomware llamada WhiteBlackCrypt que estaba dirigida a las víctimas rusas en marzo de 2021.

Curiosamente, se sabe que el ransomware incluye un símbolo de tridente, que es parte del escudo de armas de Ucrania, en la nota de rescate que muestra a sus víctimas, lo que llevó a Ucrania a sospechar que esto puede haber sido una operación de bandera falsa con la intención deliberada de culpar a un "falso" grupo pro-ucraniano por organizar un ataque contra su propio gobierno.

Jesus_Caceres