Webs fraudulentas, ciberataques dirigidos, phishing…: las consecuencias cibernéticas de la guerra en Ucrania

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Microsegmentación, clave para seguridad empresarial Leer La hoja de ruta de DevOps en materia de seguridad Leer

El Grupo de Inteligencia de Amenazas de Infoblox ha realizado un informe que constata un notable incremento en el número de nuevos nombres de dominio registrados relacionados con la invasión de Ucrania y la crisis humanitaria desencadenada como consecuencia de ella. El análisis del tráfico de DNS muestra que, del 24 al 28 de febrero, se vieron por primera vez más del doble de dominios que en la semana anterior a la ofensiva.

Los ciberdelincuentes están aprovechando este movimiento mundial de solidaridad para crear sitios fraudulentos que suplantar o imitar esfuerzos de apoyo humanitario genuinos. Se han detectado diversas actividades maliciosas, que van desde campañas de malware hasta entidades que se hacen pasar por organismos de coordinación para la entrega de suministros médicos a Ucrania. Entre las amenazas más frecuentes en este entorno se encuentran las estafas para recolectar criptomonedas.

Una de las mayores dificultades para identificar las actividades fraudulentas es que las diferentes iniciativas humanitarias se están realizando en forma de Organizaciones Anónimas Descentralizadas (DAO). Este tipo de organizaciones surgen de forma espontánea en este tipo de crisis, con un objetivo específico, y a menudo utilizan tecnología de blockchain para canalizar las transacciones financieras. Por ejemplo, el día 26 de febrero se detectó una cuenta de Twitter que se identificaba como perteneciente al gobierno ucraniano que solicitó donaciones en criptomoneda. Por este motivo se están produciendo una serie de “falsos positivos”, con organizaciones de seguridad calificando de sitios fraudulentos a organizaciones DAO legítimas, como por ejemplo la iniciativa puesta en marcha Nadya Tolokonnikova, fundadora de Pussy Riot, que no aloja malware ni contenido fraudulento.

Otras DAO son más sospechosas y carecen de vínculos creíbles con personalidades establecidas en la región. Aunque a primera vista el contenido es similar al de sitios de ayuda legítimos, hay una serie de elementos que hacen sospechar de que se trate de sitios fraudulentos, como son el hecho de que la dirección de Ethereum anunciada no tiene transacciones, no hay ningún reclamo validado públicamente de este sitio y que los propietarios del sitio crean transacciones de terceros a otro dominio recientemente registrado.

Infoblox recomienda como primera medida verificar la legitimidad de las organizaciones antes de hacer cualquier donativo. Algunos de estos sitios podrían servir como frentes fraudulentos para operaciones de inteligencia u operaciones de delitos cibernéticos, lo que representa un riesgo potencial de spyware y recolección de información de identificación personal. Antes de proporcionar información personal o financiera a este tipo de sitios web, verificar con una fuente establecida que identifique a la organización y su dominio de alojamiento.

Diversidad de ciberamenazas
Desde el inicio de la invasión rusa de Ucrania son numerosas las firmas de seguridad, como ESET, que han alertado de la posibilidad de que se desencadenasen más ciberataques en todo el mundo, y se está cumpliendo. Solo en los tres primeros días del conflicto, Check Point encontró que los ciberataques contra el Gobierno y el sector militar de Ucrania se incrementaron un 196% en los tres primeros días de combate. En cuanto a los ciberataques a organizaciones rusas aumentaron un 4%. 

Por su parte, los investigadores de ciberseguridad de Proofpoint han publicado un informe de amenazas en el que muestran las posibles acciones cibernéticas patrocinadas por el estado bielorruso y dirigidas a personal de las instituciones europeas implicadas en la gestión de la logística de los refugiados que huyen del conflicto en Ucrania. Alertan de que los grupos de amenazas seguirán dirigiendo acciones de este tipo contra gobiernos europeos.

Según ha informado, la campaña de phishing, que distribuye un malware conocido como "SunSeed", se envía desde una cuenta de correo electrónico comprometida de un miembro de las fuerzas armadas ucranianas. Proofpoint atribuye provisionalmente esta actividad a un grupo de amenazas conocido como TA445 (Ghostwriter/ UNC1151), que parece operar desde Bielorrusia, y que ha participado en el pasado en un importante número de operaciones de desinformación destinadas a manipular el sentimiento de los europeos en torno al movimiento de refugiados dentro de los países de la OTAN.

La última investigación nos llega de Bitdefender Labs, que ha detectado múltiples campañas de malspam están instalando los troyanos de acceso remoto Agent Tesla y Remcos en los ordenadores de los usuarios. Respecto a los ataques del RAT de malware como servicio, Agent Tesla, destaca que originan aparentemente en direcciones IP de los Países Bajos (86%) y Hungría (3%), y que los receptores se encuentran en Corea del Sur (23%), Alemania (10%), Reino Unido (10%), los Estados Unidos (8%), la República Checa (14%), Irlanda (5%), Hungría (3%), Suecia (3%) y Australia (2%).

En el caso del troyano Remcos, los correos electrónicos maliciosos se originan en direcciones IP de Alemania y de Estados Unidos, y su destino es Irlanda (32%), India (17%), Estados Unidos (7%), Reino Unido (4%), Alemania (4%), Vietnam (4%), Rusia (2%), Sudáfrica (2%) y Australia (2%).

Ataques a grupos de comunicación
El fabricante español de tecnología de ciberseguridad Iberlayer, ha informado también de una “fuerte campaña” de malware proveniente de grupos de ciberdelincuentes rusos y dirigida a los principales grupos de comunicación españoles, tanto de prensa escrita como de radio y televisión.

Según esta firma, en este conflicto se están produciendo no sólo ataques rusos a infraestructuras físicas de comunicación (tal como ocurrió recientemente con el bombardeo de la icónica torre de televisión de Kiev), sino también el inicio de una guerra cibernética que, como tal, no tiene fronteras y cuyos objetivos no son sólo las infraestructuras ucranianas: la ciberguerra ha llegado también al resto de Europa.