Check Point Research asegura que los ciberataques contra el Gobierno y el sector militar de Ucrania se han incrementado en un 196% en los tres primeros días de combate. En cuanto a los ciberataques a organizaciones rusas aumentaron un 4%.

Los correos electrónicos de phishing en las lenguas eslavas orientales se multiplicaron por siete, y un tercio de ellos estaban dirigidos a destinatarios rusos enviados desde direcciones ucranianas. Los investigadores advierten de la existencia de emails fraudulentos que se envían para engañar a las personas que quieren donar a Ucrania desde el extranjero.

Desde el inicio de la invasión de Urania, Check Point Research ha documentado un crecimiento del 4% en los ciberataques a las organizaciones dentro de Rusia, en comparación con el mismo periodo de la semana anterior. En Ucrania, la cantidad global de ciberataques por compañía aumentó un 0,2%. Otras regiones del mundo experimentaron una disminución de las ciberamenazas por empresa.

Los investigadores han recogido un aumento significativo de siete veces en los correos de phishing en idiomas eslavos del este (letras rusas/ucranianas). Además, un tercio de estos correos electrónicos dirigidos a destinatarios rusos se enviaron desde direcciones ucranianas, reales o falsas:

Cuidado con el fraude en las donaciones a Ucrania

Check Point también ha detectado mensajes de correo electrónico fraudulentos que se aprovechan de la situación con el objetivo de obtener un beneficio económico, atrayendo a los destinatarios para que efectúen donaciones a falsos fondos de apoyo a Ucrania.

«La actividad a nivel cibernético está aumentando en torno al actual conflicto entre Rusia y Ucrania. Estamos viendo un aumento de los ciberataques en ambos bandos, siendo los más fuertes para el Gobierno ucraniano y el sector militar. Es importante entender que la guerra actual también tiene una dimensión cibernética, donde los usuarios están eligiendo un bando, desde la dark web hasta las redes sociales. Hoy publicamos un artículo en nuestro blog sobre cómo el conflicto entre Rusia y Ucrania está polarizando el ciberespacio. Los hacktivistas, los ciberdelincuentes, los “white hat hacker” o incluso las empresas tecnológicas están eligiendo un bando claro, animados a actuar en favor de sus preferencias”, alerta Lotem Finkelstein, director de inteligencia de amenazas e investigación de Check Point Software Technologies.

“Para las personas que deseen realizar un donativo a Ucrania, advertimos de los correos electrónicos fraudulentos que tratan de aprovecharse de su disposición a contribuir. Hay que comprobar siempre la dirección del remitente, prestar atención a las faltas de ortografía en su texto y verificar si el remitente es real. Seguiremos vigilando todos los aspectos de la actividad cibernética en torno a la guerra actual”, añade Nieva.

Consejos de seguridad para las personas que desean donar a Ucrania:

1. Detectar dominios falsos: una de las técnicas más comunes utilizadas en los correos electrónicos de phishing son los dominios parecidos o falsos. Se trata de direcciones que parecen legítimas o de confianza a primera vista. Por ejemplo, en lugar de la dirección [email protected] , un email de phishing puede utilizar [email protected] o boss@compаny.com. Los phishers también pueden utilizar dominios falsos pero plausibles en sus ataques.
2. Cuidado con los archivos adjuntos inusuales: un objetivo común del phishing es engañar al destinatario para que descargue y ejecute en su equipo un malware adjunto. Para que esto funcione, el correo electrónico debe llevar un archivo capaz de activar un código ejecutable, por ejemplo, una supuesta factura puede ser un archivo ZIP o un documento de Microsoft Office adjunto puede requerir la activación para ver el contenido. Si este es el caso, es probable que sus adjuntos sean maliciosos.
3. Cuidado con los errores gramaticales o de tono: a menudo, los mensajes de phishing no están escritos por personas que dominan el idioma. Esto significa que pueden contener errores gramaticales o simplemente sonar mal. Es poco probable que los emails reales de una organización legítima tengan estos fallos, por lo que deberían ser una señal de advertencia de un posible ataque de phishing. Además, están diseñados para convencer al destinatario de que haga algo que no le conviene (entregar información confidencial, instalar malware, etc.). Para conseguirlo, los phishers suelen utilizar trucos psicológicos en sus campañas, como:

• Sentido de urgencia: los mensajes de phishing suelen indicar a sus destinatarios que deben hacer algo de inmediato. Esto se debe a que con prisa es menos probable detectar si el correo electrónico parece sospechoso o es legítimo.
• Uso de la autoridad: las estafas relacionadas con el correo electrónico comercial (BEC) y otros mensajes de spear-phishing suelen fingir que proceden del director general o de otro personal autorizado de alto rango. Estas estafas se aprovechan del hecho de que el destinatario es proclive a seguir las órdenes de las autoridades.

4. Cuidado con las solicitudes sospechosas: estos mensajes electrónicos falsos están diseñados para robar dinero, credenciales u otra información sensible. Si un email hace una petición o una demanda que parece inusual o sospechosa, puede ser una prueba de que forma parte de un ataque de phishing.

S21sec alerta de los contagios de HermeticWiper

La guerra híbrida entre Rusia y Ucrania plantea un escenario crítico en el que los ataques ransomware dirigidos contra empresas estratégicas o infraestructuras críticas ucranianas se están viendo incrementados. El equipo de Threat Intelligence de S21sec alerta sobre  una nueva familia de malware utilizada en los ataques dirigidos contra Ucrania conocido como «HermeticWiper” (en inglés, wiper significa borrar).

Este malware se ha instalado en cientos de máquinas ucranianas, indicando la posibilidad que los atacantes hayan tenido acceso a sus objetivos durante meses, para destruir los sistemas y los datos, provocando grandes daños financieros y a la reputación de las empresas afectadas.

“Este tipo de malware se dirige a grandes empresas y organizaciones gubernamentales, y es posible que esto se deba a que los actores detrás del mismo busquen eliminar trazas de una infección previa, posiblemente destinada a la realización de ciberespionaje, o bien causar el mayor daño posible a un país y empresa”, destaca Sonia Fernández, responsable del equipo de Inteligencia de S21sec.

“Las empresas con mayor riesgo son aquellas pertenecientes al sector energético, marítimo, de transportes y, por supuesto, infraestructuras críticas de Ucrania así como de cualquier país con relaciones en el citado país”, señala.

Entre los métodos existentes para acceder a las redes internas de una empresa, destaca el uso de credenciales corporativas filtradas. El acceso a este tipo de información se obtiene de forma ilícita a través de distintos foros clandestinos y mercados underground, como Genesis Market, Russian Market, o 2easyMarket. La compra de estos accesos por parte de los ciberdelincuentes facilita la realización de ataques a un mayor número de compañías.

Este modelo de negocio de compra-venta de accesos, promovido por la actividad que realizan los conocidos como ‘initial access brokers’, piratas informáticos que descifran los accesos a servicios de tecnología de empresas e instituciones, ha aumentado considerablemente en los últimos años.

Recomendaciones para empresas e instituciones

• Limitar o eliminar los permisos de administrador para usuarios regulares de cara a disminuir la superficie de ataque. En caso de que algún usuario solo tenga cuenta de administrador, es recomendable usar en los casos en los que no necesite tales privilegios una cuenta de usuario normal.

• Restringir la ejecución de PowerShell/WSCRIPT/PSEXEC/WMIC en el entorno empresarial. Asegurar la instalación y uso de la última versión de PowerShell, con registro mejorado habilitado.

• Bloquear las conexiones hacia los dominios que se indican.

• Mantener el software actualizado, priorizando aquellas actualizaciones que están enfocadas en vulnerabilidades conocidas que han sido explotadas.

• Validar que todo acceso remoto a la red de la organización y acceso privilegiado o administrativo tiene habilitado un doble factor de autenticación.

• Confirmar que el personal de TI de la organización haya deshabilitado todos los puertos y protocolos que no son esenciales para propósitos de negocios.

• Utilizar copias de seguridad para la información crítica.

• No habilitar las macros de los archivos adjuntos de Microsoft Office.

• Asegurarse de que las interfaces de administración de dispositivos de red y almacenamiento centralizados residan en VLAN restrictivas.

• Asegurarse de que las listas de control de acceso (ACL) basadas en la red estén configuradas para permitir la conectividad de servidor a host y de host a host a través del alcance mínimo de puertos y protocolos.

La portavoz del Ministerio de Exteriores de Rusia, Maria Zajarova, asegura que sus Embajadas se están enfrentando a ciberataques «sin precedentes», y detrás de ellos se ocultan «terroristas de información ucranianos».