Check Point Research detecta que los grupos de amenazas de todo el mundo están utilizando documentos sobre la invasión de Ucrania por Rusia y sobre la guerra para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo.

Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

Check Point Research realiza un perfil de tres grupos APT, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes:

El Machete

Tiene su origen en países hispanohablantes. Ataca al sector Financiero y gubernamental. de países como Nicaragua o Venezuela. Check Point Research ha descubierto a este grupo enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.

• Metodología de ataque

1. Correo electrónico de spear-phishing con texto sobre Ucrania.
2. Documento de Word adjunto con un artículo versado en Ucrania.
3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
4. Malware descargado en el PC.

Lyceum

Originado en la República Islámica de Irán, ataca al sector de la energía de países como Israel o Arabia Saudí. A mediados de marzo, una empresa energética israelí recibió un email de la dirección inews-reporter@protonmail[.]com con el asunto “Crímenes de guerra rusos en Ucrania”. El mensaje contenía unas cuantas imágenes extraídas de medios de comunicación públicos y contenía un enlace a un artículo alojado en el dominio news-spot[.]live. Este enlace conducía a un documento que tenía el artículo “Researchers gather evidence of possible Russian war crimes in Ukraine”, publicado por The Guardian. El mismo dominio albergaba otros documentos maliciosos relacionados con Rusia y con la guerra entre Rusia y Ucrania, como una copia de un texto de The Atlantic Council de 2020 sobre las armas nucleares rusas, y una oferta de trabajo para un agente de “extracción/protección” en Ucrania.

• Metodología de ataque

1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
2. El documento ejecuta un macrocódigo cuando se cierra el documento.
3. El archivo .exe se guarda en el PC.
4. La próxima vez que se reinicie el PC se iniciará el malware.

SideWinder

Generado posiblemente en India, su objetivo es Pakistán. Un documento malicioso sobre la guerra entre Rusia y Ucrania, se subió a VirusTotal (VT) a mediados de marzo. A juzgar por su contenido, los objetivos previstos son entidades pakistaníes; el cebo contiene un texto del Instituto Nacional de Asuntos Marítimos de la Universidad Bahria en Islamabad, y se titula “Charla centrada en el impacto del conflicto ruso-ucraniano en Pakistán”. Este archivo malicioso utiliza la inyección remota de plantillas. Cuando se abre, recupera una plantilla remota de un servidor controlado por el ciberdelincuente.

Metodología de ataque

1. La víctima abre el documento malicioso.
2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
4. Malware en el PC de la víctima.

“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

“Creemos firmemente que todas estas están diseñadas con la principal motivación del ciberespionaje. Nuestros descubrimientos muestran una clara tendencia: las actividades colaterales en torno a la guerra entre Rusia y Ucrania se han convertido en un señuelo para los grupos de amenazas de todo el mundo. Recomiendo encarecidamente a los gobiernos, los bancos y las empresas energéticas que reiteren la concienciación y la educación en ciberseguridad a sus empleados, y que apliquen soluciones de este experto.

Incremento de los ciberataques del 10% en Rusia y del 17% en Ucrania

Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. También se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto.