Ciberamenazas derivadas del conflicto en Ucrania
Dentro de la continua monitorización que se está llevando desde SmartHC con motivo de la invasión de Ucrania por parte de Rusia y gracias a las sondas desplegadas a tal efecto, tanto por la utilización de nuestras herramientas de inteligencia como por el trabajo de nuestros expertos analistas en inteligencia, se ha obtenido la siguiente información.
Desde el inicio del conflicto hemos informado sobre la posibilidad de ataques cibernéticos contra intereses en todo el mundo, especialmente en Europa, dirigidos a objetivos públicos y privados debido a que los estados en los que se encuentran se han posicionado contra los intereses de Rusia en el conflicto armado. Estos objetivos, además de fijarlos en intereses gubernamentales e infraestructuras críticas de los países víctima, también se comenzaron a fijar en intereses privados, especialmente empresas relacionadas con la banca, logística, transporte o que su inactividad pudiera perjudicar seriamente a la cadena de suministros de el resto de activos de un país, como ejemplo el ataque masivo, de cifrado de activos mediante Ransomware que realizó el grupo Conti, hoy en proceso de fusión con el grupo de Ransomware Hive, y que ha tenido bloqueada toda la actividad de Costa Rica, país al que tomaron como “laboratorio” con el objetivo de practicar para el lanzamiento de un ataque masivo en Europa.
Hace semanas informábamos de la amenaza lanzada por un grupo prorruso, Killnet, que amenazaba a intereses de países europeos, tanto de gobiernos como en lo relacionado con la empresa privada, declarando abiertamente la ciberguerra contra estos intereses y aludiendo directamente a España e Italia, este último país se vio afectado durante la celebración del festival de Eurovisión, así como por el ataque a intereses del propio gobierno. En esta ocasión los ataques se realizan mediante técnicas de denegación de servicio utilizando botnets, controladas por el grupo criminal, como es el ejemplo de la Botnet Mirai.
Este grupo, a través de su sección denominada “Killnet Legion” está llevando a efecto estas amenazas viéndose seriamente afectados intereses polacos.
En horas previas a la publicación de este post, y en la misma línea, también se ha tenido conocimiento de que, el grupo “Stormous Ransomware” también prorruso, ha lanzado, a través de sus canales de comunicación una encuesta en la que solicita a sus seguidores la votación sobre a quién prefieren que lancen sus próximos ataques, en esta relación aparecen intereses de Reino Unido y Francia entre otros países.
Los atacantes dan un paso, ya no se centran solo en intereses de gobiernos y empresas, ahora se dirigen sus acciones hacia usuarios finales. Nuestro equipo de inteligencia ha obtenido información relativa a ataques directamente hacia estos nuevos objetivos.
Tras el reciente supuesto desmantelamiento del troyano bancario FlubBot, que se instalaba en dispositivos móviles Android con el objetivo de robar información bancaria haciéndose pasar por aplicaciones de empresas de paquetería y que se propagaba con extrema rapidez por medio de la agenda de contactos del dispositivo comprometido, se ha detectado un nuevo troyano con el mismo “modus operandi” y objetivos, en este caso es el denominado troyano MailBot.
Mailbot que se dirige a clientes de banca en línea y billeteras de criptomonedas en España e Italia, tiene la capacidad de robar cookies y credenciales, eludir los códigos de autenticación de múltiples factores y monitorizar la pantalla del dispositivo de la víctima abusando del Servicio de Accesibilidad de Android, siendo UniCredit, Santander, CaixaBank y CartaBCC algunos de los bancos a los que apunta el troyano para emular sus aplicaciones de servicios online mediante dispositivos móviles.
Además, se ha conocido que este troyano también se presenta como aplicaciones de de minería de criptomonedas, tales como The CryptoApp o Mining X, que se distribuyen a través de sitios web fraudulentos.
Otra de las peligrosas características de este troyano es que también tiene técnicas de distribución mediante el conocido Smishing al acceder a los contactos de un teléfono infectado y enviar enlaces al malware a través de mensajes SMS.
SmartHC ha podido obtener que los servidores utilizados por Malibot están ubicados en Rusia.
“Durante la publicación de este post, se ha tenido conocimiento de una publicación realizada por el grupo KillNet por la cual solicita la adhesión de miembros de los grupos CONTI y REVIL, con la intención de lanzar ataques conjuntos contra intereses de Italia, Polonia y Estados Unidos. Con este tipo de alianzas, aumenta exponencialmente el nivel de criticidad y alcance de los posibles ataques. Ante esto, se debe cambiar la forma de pensar y actuar, pasando de un modelo reactivo a un modelo proactivo, pues de esta manera conseguimos adelantarnos a la nueva forma de actuar de estos ciberdelincuentes”
Nuestro consejo, una vez más, es que no se baje la guardia, y que al igual que securizamos nuestros ordenadores de sobremesa y portátiles, también lo hagamos con nuestros dispositivos móviles utilizando las herramientas de seguridad que se encuentran en el mercado y, por supuesto, ante cualquier duda o problema sobre esta incidencia o cualquier otro problema de seguridad, en SmartHC estamos a tu entera disposición para ayudarte.
SmartHC
Departamento de Seguridad & Estrategia
Área de Inteligencia y Contrainteligencia