Guerra Rusia - Ucrania: lo más destacado de las últimas semanas

07 Marzo 2022
Informativo

 

Durante las últimas semanas se ha visto una escalada en la actual guerra de Rusia y Ucrania, en donde en paralelo al conflicto bélico se ha registrado una superficie de ataque en el ciberespacio, con diferentes ciberactores tomando parte de algún bando, tal como se ha descrito en el boletín “Guerra Rusia-Ucrania: desde el uso de malware del tipo “Wiper” hasta ingeniería social” era de esperarse una evolución constante en el desarrollo de herramientas y demostración de capacidades afectando de forma crítica a gobiernos incluso a ciberactores de ransomware abanderados por rusia.

 

Investigadores han detectado la actividad de un malware apodado FoxBlade que comenzó su actividad en territorio ucraniano, horas previas a la invasión rusa y que había sido desplegado con anterioridad logrando pasar desapercibido incluso durante su funcionamiento.

Este malware una vez infecta el equipo de un usuario, permite generar ataques DDoS dirigidos  sin levantar sospechas, siendo este el método utilizado para interrumpir conexiones de internet en Ucrania  en múltiples ocasiones y a diferentes entidades.

Cabe destacar que pese a tener presencia con anterioridad a otros malware (wiper) y ransomware detectados, ha sido identificado posterior a ellos.

 

Durante el conflicto armado se ha logrado evidenciar una superioridad numérica considerable tanto física como digitalmente de parte de rusia dejando pocas oportunidades para que Ucrania sea defendido activamente en ambos planos, es por esta razón que diferentes agrupaciones de hacking se han hecho presente desde ambos sectores para defender y vulnerar servicios e infraestructura crítica de su oponente.

Por otra parte, investigadores han desarrollado una tabla resumen en donde se detalla la cantidad de grupos que se han hecho presente en el conflicto, su apoyo y canales de difusión, pudiendo observar una tendencia en apoyo a Ucrania.

Pese al gran revuelo que han causado estos grupos en redes sociales, investigadores de Checkpoint han identificado que actores como AgainsTheWest (ATW), KelvinSecurity y KillNet han presentado diversa información con ataques recientes, sin embargo, algunas de estas provienen de años previos, son imprecisas, referencian sitios incorrectos, sin relevancia o incluso de recursos que existen públicamente y no requieren de ninguna intrusión para ser obtenidos.

 

Basado en reportes de Netblocks.org se ha informado que desde el día 24 de febrero hasta el dia 3 de marzo se han llevado a cabo diferentes interrupciones en el servicio de internet y telefonía de diferentes proveedores en Ucrania quienes ha alertado sobre problemas en su infraestructura y problemas de abastecimiento de energía que afectan sus estaciones base, causado por ataques en algunas ciudades de Ucrania.

 

Ciberactores pro Ucrania han declarado recientemente haber comprometido satélites Rusos con los cuales son utilizados para vigilancia, sin embargo, desde la agencia rusa han negado rotundamente haber sido afectados por algún ciberataque, por lo que podría caer en otra campaña de desinformación como se ha detallado anteriormente.

Pese a estas declaraciones desde Rusia se evalúa la posibilidad de no lanzar 36 nuevos satélites por un posible uso en su propia contra.

 

Como es ya de amplio conocimiento en el conflicto ruso - ucraniano, previo a las movilizaciones militares, a mediados de enero de 2022, se acusó a Bielorrusia de atacar entidades del gobierno con un malware “simulando” ser un ransomware,tal como ha sido abordado y descrito en boletin "Guerra entre Rusia y Ucrania: ciber impactos en las operaciones nacionales"

Estos ataques con objetivos destructivos utilizaron los siguientes componentes:

  • WhisperGate
  • HermeticWiper
  • HermeticWizard
  • HermeticRansom
  • IsaacWiper

En un inicio, se mencionó el uso del wiper malware WhisperGate, el que se caracterizó por dejar inoperativos cientos de equipos, de los que fué imposible recuperar información luego de la infección, lo que “abrió la puerta” a otra serie de ataques, que fueron descubiertos unas semanas más tarde, durante el día 23 de febrero, donde un equipo de investigación de ESET informó sobre la existencia de un nuevo malware con similares características al ransomware NotPetya, quienes comparten, entre otras características, ataques a infraestructura crítica en Ucrania y cifrado/borrado de archivos si solicitar un rescate. 

 

Por otra parte, “HermeticWizard” se utilizó como herramienta para ejecutar movimiento lateral una vez consolidado el acceso a la red, la que utilizando explotación de vulnerabilidades en SMB y WMI, identificaba equipos conectados que posteriormente, infectaba para asegurar su presencia en la red.

Con el paso de las horas, tendría lugar un nuevo ataque a infraestructuras del gobierno de Ucrania, en el que diferentes investigaciones anunciarían el descubrimiento de un nuevo wiper malware, al que se menciona como HermeticWiper.

 

 

Siguiendo con la línea investigativa, durante el 24 de febrero se detectó otro nuevo wiper malware al que se denominó “IsaacWiper”, el que hasta el momento no guarda relación directa con las otras muestras antes mencionadas.

Junto con este nuevo malware, se han encontrado otras piezas de código (no necesariamente malicioso), como la herramienta de acceso remoto “RemCom”, el cual es un proyecto de código abierto que busca entregar casi o las mismas funcionalidades que la conocida herramienta “psexec”.

 

Como se había comentado, los ataques llevados a cabo con el malware destructivo “Hermetic Ransom” no buscaban una “recompensa” a cambio de una herramienta o clave de descifrado, sino por el contrario, evitar a toda costa la recuperación de los datos comprometidos.

 

Sin embargo, investigadores de la firma antivirus “Avast”, liberaron una herramienta gratuita que permite el descifrado de los archivos afectados por el ransomware, mencionando su forma de operación e incluyendo un manual “paso a paso” para el uso del software de descifrado.

 

 

Los últimos acontecimientos ocurridos entre estos dos países, que ha involucrado movilización militar y de operaciones al estilo “ciberguerra”, han ido desenmarañando una red de información que poco a poco ha llegado a la luz pública, por cuanto diferentes actores de amenaza han manifestado su apoyo, rechazo o neutralidad referente a la ya mencionada situación del conflicto ruso - ucraniana.

Bajo este escenario, el grupo Conti publicó en su sitio de leaks, el día 25 de febrero, un mensaje brindando su apoyo al gobierno ruso e indicando, además, su total disposición de “utilizar todos los recursos necesarios para atacar de vuelta la infraestructura crítica del enemigo”, lo que más tarde sería “aclarado” por los operadores de este ransomware, indicando que “no era aliado de ningún país” y que sus acciones serían en respuesta a agresiones “contra la infraestructura crítica de Rusia o cualquier región de habla rusa”.

Esto provocó una serie de reacciones contra el grupo, lo que finalmente gatilló que uno de sus miembros, expusiera diferente información interna relacionada a operaciones donde se utilizaba este ransomware, haciendo pública gran parte de la infraestructura y métodos de comunicaciones internas.

 

De acuerdo a la informacion existente en boletin "Conti Ransomware: expuesto en medio de guerra ruso - ucraniana" junto con la nueva información obtenida, estas filtraciones podrían haber sido realizadas por afiliados de Conti de nacionalidad ucraniana, como desacuerdo ante las declaraciones a favor de Rusia emitidas por parte del grupo.

Entre los datos filtrados más interesantes, se encuentran logs de chats Jabber utilizados por los ciberactores, medio que era utilizado para la comunicación interna donde se incluyen diferentes enlaces a recursos externos y cuentas de bitcoin que han permitido analizar en parte los ingresos obtenidos por sus operaciones, de las que se tiene registro de haber transado miles de Bitcoins valuados en Millones de dólares.

 

Tal como se alertó en boletín previo, durante esta guerra se han llevado a cabo diferentes técnicas de ataque que entre las que se incluye la ingeniería social, esta vez apuntada directamente contra militares, el gobierno y refugiados Ucranianos mediante campañas de phishing en masa realizada el día 24 de febrero que buscaban tomar el control de los dispositivos de los usuarios para realizar campañas de espionaje del otro lado de la frontera.

Estos ataques son realizados mediante malware Lua-based a.k.a SunSeed cargados en el sistema mediante habilitación de macros en documentos ofimáticos descargados de la campaña de phishing.

 

Posterior a los eventos de agresión contra Ucrania, el colectivo “Anonymous” anunció su repudio a la acciones llevadas a cabo por Rusia, declarándole la “guerra” al gobierno ruso y advirtiendo que llevaría a cabo operaciones para “desenmascarar” las verdaderas intenciones por las cuales habría iniciado el conflicto.

 

Ataques DDoS contra diferentes entidades en Rusia

Diferentes fuentes reportaron que el grupo lanzó varios ataques de Denegación de servicio distribuida(DDoS), con el objetivo de dejar fuera de línea varios sitios web, entre los que se menciona el Kremlin, la Duma y el Ministerio de Defensa, además del gigante petrolero ruso Gazprom. Otros objetivos incluyeron a proveedores de servicios de Internet (ISP) rusos Com2Com, Relcom, Sovam Teleport y PTT-Teleport Moscow.

 

El yate de lujo del presidente Putin es enviado al “infierno”.

Dentro de las “operaciones” llevadas a cabo por el grupo hacktivista, destacó un “ataque” llevado a cabo contra el yate de lujo del presidente ruso, donde manipularon el Sistema de Identificación Automática (SAI), que se utiliza para rastrear las ubicaciones de los barcos a nivel global, cambiando el destino del yate a “infierno” y también su distintivo a “FCKPTN”.

 

Durante el fin de semana se han publicado diferentes ataques dirigidos a infraestructura de Rusia adjudicados por la agrupación Anonymous, entre ellos se registran disrupciones a canales de televisión y de streaming en donde se han emitido imágenes relacionadas a la guerra, enfocándose en los daños causados por la invasion rusa en ucrania

 

Junto a este evento, además se han publicado registros que muestran como agrupaciones activistas Pro Ucrania también han intervenido en las señales de radios militares pertenecientes a Rusia mediante un transmisor con la imagen de “Troll Face” referenciada en forma de burla.

 

Desde aquellos ataques con “defacement” hasta el uso de “armas destructivas” en contra del gobierno ucraniano, el campo de la ciberseguridad no ha pasado inadvertido, siendo protagonista activo de las actividades llevadas a cabo por un país claramente “superior” en el ámbito de desarrollo de ciberoperaciones, los que han gatillado una serie de eventos que involucran grupos maliciosos y otros, de índole político - estratégico.

Dados los acontecimientos acaecidos durante los inicios de las operaciones consideradas en el conflicto (aquellas lanzadas desde el 14 de enero de 2022) y hasta la fecha, es imposible hacer “vista gorda” y considerar que LATAM no será “tocado” por los efectos colaterales de esta contienda en el este de Europa.

Se ha mencionado en anteriores boletines de amenazas latentes para LATAM y Chile, diferentes actores maliciosos que entraron en escena una vez “declarada” la guerra entre Rusia y Ucrania, los que aprovechando el “pánico” de la situación, han desplegado sofisticados ataques de phishing y robo de información con objetivos claramente económicos (distantes de aquellos considerados en Ucrania, donde solo se espera causar daño irreparable).

Lo anterior, sin dejar de lado que aquellos grupos con presencia frecuente en Chile, siguen realizando sus actividades tras la “difusa cortina” del anonimato, teniendo en cuenta que actores como “Conti” han sido expuestos y que muchos de estos datos podrían servir como una pista clave para el descubrimiento de sus operadores, existiendo una alta probabilidad de que este grupo “migre” a una versión mucho más poderosa, teniendo como base lo que habría ocurrido en campañas llevadas a cabo por TA551, grupo que históricamente ha utilizado vectores de ataque que han sido revelados también en el leak de datos de Conti.

Por otra parte, los sectores de finanza e industria relacionados a servicios y retail, siguen siendo los más propensos a posibles ataques llevados a cabo por diferentes grupos maliciosos que buscarán, sin duda alguna, beneficio del pánico estratégico provocado por Rusia hacia Ucrania, donde ya se ha observado el uso de software complejo que busca infringir daño sobre las organizaciones, aun existiendo herramientas de ayuda (como el descifrador gratuito para Hermetic Ransom).

Finalmente, hay una clara señal de un futuro uso de las “nuevas técnicas y herramientas” que se han revelado, con el único objetivo de obligar a las organizaciones comprometidas a someterse a extorsiones o simplemente, efectuar un daño que lleve a una organización a la pérdida total de sus datos.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
  • Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
  • Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices)
  • Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
  • Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
  • Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
  • Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
  • Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
  • Si su organización opera o interactúa con organizaciones de Ucrania, tenga especial cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revisar en detalle los controles de acceso para ese tráfico en específico.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  •  Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
  • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
  • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
  • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.

Tags: #Rusia #Ucrania #Guerra #Anonymous #APT #Ciberactores #Hermeticwiper #hermeticransom #hermeticwizard #whispergate #isaacwiper #avast #decryptor #ransomware #conti #vx-underground #phishing #putin


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.