imágenes falsas
Los piratas informáticos motivados financieramente con vínculos con un notorio grupo de delitos cibernéticos Conti están reutilizando sus recursos para usarlos contra objetivos en Ucrania, lo que indica que las actividades del actor de amenazas se alinean estrechamente con la invasión del Kremlin a su país vecino. un investigador de Google informó el miércoles.
Desde abril, un grupo de investigadores rastreados como UAC-0098 ha llevado a cabo una serie de ataques dirigidos a hoteles, organizaciones no gubernamentales y otros objetivos en Ucrania, CERT UA posee reportado en el pasado. Algunos de los miembros de UAC-0098 son ex miembros de Conti que ahora están utilizando sus técnicas sofisticadas para apuntar a Ucrania mientras continúa evitando la invasión de Rusia, dijo Pierre-Marc Bureau, investigador de Threat Analysis de Google.
Un cambio sin precedentes
“El atacante ha cambiado recientemente su enfoque para atacar a las organizaciones ucranianas, el gobierno ucraniano y las organizaciones humanitarias y sin fines de lucro europeas”, escribió Bureau. “TAG evalúa que UAC-0098 actuó como intermediario de acceso inicial para varios grupos de ransomware, incluidos Quantum y Conti, una pandilla rusa de ciberdelincuencia conocida como FIN12 / WIZARD SPIDER”.
Escribió que “las actividades de UAC-0098 son ejemplos representativos de líneas borrosas entre grupos respaldados por gobiernos y motivados financieramente en Europa del Este, lo que ilustra una tendencia de los actores de amenazas que cambian su objetivo para alinearse con los intereses geopolíticos regionales”.
En junio, los investigadores de IBM Security X-Force reportado mucho lo mismo. Descubrió que el grupo Trickbot con sede en Rusia, que, de acuerdo a investigadores de AdvIntel, fue asumido efectivamente por Conti a principios de este año—había estado “atacando sistemáticamente a Ucrania desde la invasión rusa, un cambio sin precedentes ya que el grupo no había atacado previamente a Ucrania”.
Las “campañas de Conti contra Ucrania son notables debido a la medida en que esta actividad difiere del precedente histórico y al hecho de que estas campañas aparecieron específicamente dirigidas a Ucrania con algunas cargas útiles que sugieren un mayor grado de selección de objetivos”, IBM Security X-Force. los investigadores escribieron en julio.
Los informes de Google TAG e IBM Security X-Force citan una serie de incidentes. Los enumerados por TAG incluyen:
- Una campaña de phishing por correo electrónico a fines de abril entregó AnchorMail (denominado “LackeyBuilder”). La campaña utilizó señuelos con temas como “Proyecto ‘Ciudadano activo'” y “File_change,_booking”.
- Un mes después, una campaña de phishing se dirigió a organizaciones de la industria hotelera. Los correos electrónicos se hicieron pasar por la Policía Cibernética Nacional de Ucrania e intentaron infectar objetivos con el malware IcedID.
- Una campaña de phishing separada se dirigió a la industria hotelera y una ONG ubicada en Italia. Usó una cuenta de hotel comprometida en India para engañar a sus objetivos.
- Una campaña de phishing que se hizo pasar por Elon Musk y su empresa satelital StarLink en un intento de obtener objetivos en los sectores de tecnología, comercio minorista y gobierno de Ucrania para instalar malware.
- Una campaña con más de 10.000 correos electrónicos no deseados se hizo pasar por el Servicio de Impuestos Estatales de Ucrania. Los correos electrónicos tenían un archivo ZIP adjunto que explotaba CVE-2022-30190, una vulnerabilidad crítica conocida como Follina. TAG logró interrumpir la campaña.
Los hallazgos de Google TAG e IBM Security X-Force rastrean documentos filtrados a principios de este año que muestran que algunos miembros de Conti tienen vínculos con el Kremlin.