Guerra Rusia - Ucrania: lo más destacado de la última semana

14 Marzo 2022
Informativo

 

Con una falsa sensación de “calma” en cuanto a las actividades llevadas a cabo por Rusia contra Ucrania, se observaron diferentes operaciones que involucraron ataques del tipo DDoS y compromisos por medio de Ransomware.

De igual forma, recientes investigaciones pusieron en evidencia lo que con antelación se había anunciado, respecto de ataques contra organizaciones importantes con el objeto de robar información y llevar a cabo espionaje, esta vez desde diferentes países que de manera “sutil” han demostrado apoyo a la causa rusa.

Lo más destacado durante la última jornada radica principalmente en la evolución de los ataques, desde intentos de dejar fuera de línea a todo un país, hasta aquellas operaciones sobre la población para el compromiso de dispositivos personales, que buscarían nada más que causar daño al interior de la nación ucraniana.

 

 

Data Leak de Roskomnadzor (RU)

Durante la semana recién pasada, el grupo de ciberactores bajo el popular alias de Anonymous realizó una publicación de un data leak en el sitio DDoS Secret (diseñado para este propósito) que involucra a la organización encargada del monitoreo, control y censura  en Rusia, llamada Roskomnadzor conformado de dos archivos que abarcan 820 GB de información y se encuentran compuestos por más de 360.000 documentos 

Anonymous anuncia públicamente Data Leak de Roskomnadzor

 

Resumen de Data Leak Roskomnadzor  en sitio DDoSecrets

 

Una semana más tarde, esta misma organización que anteriormente había restringido el acceso a Facebook y otros medios de comunicación occidentales por declararlos “Desinformativos”, se ha hecho presente limitando la red social Instagram.

Por otra parte, gran cantidad de estas intrusiones no se llevan a cabo precisamente por los APT vinculados a gobiernos, si no que más bien se ha observado una amplia participación por parte de actores externos  abanderados por uno de los dos bandos 

 

 

Continúan ataques a la infraestructura de telecomunicaciones 

Pese a la desescalada del conflicto bélico y el comienzo de negociaciones, no ha detenido que los ciberataques continúen ejecutándose activamente ya que no suelen ser cuestionados y castigados internacionalmente de la misma forma como sí lo son los enfrentamientos armados.

Usuario alerta de caída en servicios de telecomunicaciones en Ucrania

 

Ante esto, algunas organizaciones Ucranianas prestadoras de servicios de telecomunicaciones han sufrido diversas interrupciones en su tiempo de actividad a nivel nacional con cortes del servicio que han abarcado desde aproximadamente 1 Hr para la compañía Ukrtelecom y  hasta 12 Hrs para Triolan

 

 

Coinbase bloquea 25.000 cuentas Rusas

 

CoinBase es una plataforma centralizada de intercambio de criptodivisas fundada en Estados Unidos y que tras las medidas de bloqueos económicos en contra de Rusia, se ha hecho participe realizando un bloqueo de aproximadamente 25.000 billeteras vinculadas a personas u organizaciones residentes en Rusia apelando a que se encontraban relacionadas con actividades ilícitas.

Si bien no se conoce el monto bloqueado en las billeteras, resulta ser un impacto negativo  para el marketing de la compañía, ya que este tipo de acciones no responde al uso ideal de las criptomonedas, forzando aún más una redirección de fondos a finanzas descentralizadas.

 

 

Kaspersky afectado por DataLeak?

Ciberactores se adjudican haber accedido a código fuente de Kaspersky, sin embargo, Kaspersky por su parte niega esta información y menciona que es información públicamente accesible

Network Batallion 65 pública supuesto leak de Kaspersky

 

Durante un análisis a los archivos expuestos por los ciberactores se ha identificado gran similitud con los archivos que componen el sitio web filtrado, por o que se entiende que no existe información confidencial, si no mas bien solo se realizo una descarga al escritorio del sitio web, tarea que puede  ser fácilmente realizada con el comando “wget” en S.O linux.

 

Comparación de archivos del Leak v/s archivos del sitio web

 

 

Censura de redes sociales

La escalada del conflicto ruso - ucraniano ha traído daño “colateral” en cuanto a lo que se conoce como “campaña de desinformación”, lo que ha buscado mantener un estado de “pánico” en la población víctima de la guerra. Sin embargo, esta “operación” ha traído algunos problemas internos a Rusia, por cuanto gran parte de la ciudadanía rusa desaprueba la ofensiva llevada a cabo por el presidente Putin.

Producto de lo anterior, el gobierno de Rusia decretó la prohibición de acceso a la red social “Facebook” y “Twitter”, sumando una semana más tarde a “Instagram”, lo que se conoció por diferentes medios como una respuesta a las “sanciones” impuestas por occidente en contra del gobierno ruso y al masivo llamado a violentar ciudadanos de habla rusa.

"Rusia y Ucrania: Moscú bloquea Facebook y aprueba castigar con hasta 15 años de cárcel las "Noticias Falsas" sobre su ejército"

 

 

Nuevo ciberataque a principales proveedores de internet en Ucrania

Durante el día 9 de marzo, mientras Rusia continúa con su intenso bombardeo en Ucrania, partes del país han sufrido graves cortes de Internet, donde una de las causas pareciera ser un ataque al proveedor de telecomunicaciones Triolan, que atiende a una cantidad considerable de usuarios en todo el país.

La empresa afectada (Triolan) mencionó que los "nodos clave de la red" habían sido comprometidos y que algunos enrutadores no se podían recuperar, indicando que el 70% de esos nodos en Kyiv, Kharkiv, Dnipro, Poltava, Odesa, Rivne y Zaporizhia habrían sido restaurados durante el mismo día.

Se han observado otros intentos de DDoS contra numerosos sitios de Ucrania, incluido el Ministerio de Asuntos Exteriores, el Ministerio del Interior, así como servicios como LivEUAmap. que están diseñados para ayudar a las personas a encontrar información.

 

Sitio Web Liveumap con seguimiento de la guerra es afectada por DDoS

 

Ataque DDoS a proveedor de telecomunicaciones Triolan

 

 

Anonymous y el control de cámaras de seguridad en Rusia y Bielorusia

A medida que se intensifica el conflicto ruso-ucraniano, los atacantes apuntan a importantes dispositivos IoT, especialmente cámaras. El 1 de marzo, Anonymous reclamó el control del sistema de vigilancia, incluidas cientos de cámaras, anunciando en Twitter algunas capturas de pantalla.

Según el grupo, se habrían apoderado de más de 400 cámaras rusas y bielurusas, las que al mismo tiempo, se compartieron en un live transmitido vía internet, exponiendo el entorno de trabajo y el contenido de muchas agencias rusas sensibles, imagenes que fueron observadas por millones de usuarios provocando una grave violación de seguridad.

Al mismo tiempo, Anonymous afirmó haber usado contraseñas débiles (o por defecto) para iniciar sesión en el sistema, procediendo a cambiar las contraseñas para obligar al administrador de la cámara a desconectarlas.

 

Anonymous se adjudica ataque a cámaras de CCTV en Rusia

 

 

Ciberdelincuentes infectan usuarios con malware disfrazado de herramientas cibernéticas pro-Ucrania

Los ciberdelincuentes oportunistas intentan explotar a los simpatizantes ucranianos ofreciendo herramientas ofensivas (las que realmente son malware), para atacar a entidades rusas. Una vez descargados, estos archivos infectan a los usuarios, en lugar de entregar las herramientas anunciadas originalmente.

Uno de estos casos corresponde a un actor de amenazas que a través de Telegram, ofrecía una herramienta para realizar ataques de denegación de servicio distribuida (DDoS) contra sitios web rusos. El archivo descargado es en realidad un “Infoestealer” que infecta a la víctima con malware diseñado para extraer credenciales e información relacionada con criptomonedas.

 

Malware destinado a infectar campañas Pro-Ucrania

 

 

Nueva variante de wiper RURansom

El 1 de marzo se observó en diferentes fuentes de información sobre una posible variante de ransomware que llamó la atención de algunos investigadores, cuyo esfuerzo conjunto permitió encontrar varias muestras adicionales de este “nuevo malware”, que su desarrollador denominó "RURansom". A pesar de su nombre, el análisis ha revelado que es realmente un “Wiper” y no una variante de ransomware, debido a su capacidad de destrucción irreversible de archivos cifrados.

En una primera instancia, el malware se encuentra dirigido a Rusia, dado que su desarrollador deja bien claro el motivo por el cual esta “arma” ha sido creada.

 

Nota de “rescate” presentada por RURansom

 

Traducción de Nota de “rescate” presentada por RURansom

 

El malware está escrito en el lenguaje de programación .NET y se propaga como un gusano copiándose con el nombre de archivo "Россия-Украина_Война-Обновление.doc.exe" en todos los discos extraíbles y recursos compartidos de red asignados. Traducido al inglés, el nombre del archivo dice "Russia-Ukraine_War-Update.doc.exe".

 


Grupos APT reactivan operaciones en Ucrania

Durante las últimas semanas del conflicto, se observaron diferentes campañas y operaciones llevadas a cabo por conocidos grupos de amenaza, con el objetivo de causar daño y obtener información sensible.

Estos grupos han tenido actividad en el pasado y durante el desarrollo de la guerra, por lo que no es extraño volver a mencionarlos:

  • FancyBear/APT28, un actor de amenazas atribuido a Rusia, que ha llevado a cabo varias campañas de phishing, con el objeto de robo de credenciales, dirigidas a usuarios de UkrNet.

Ejemplo de portal de phishing lanzado por APT28

 

 

  • Ghostwriter/UNC1151, actor de amenazas bielorruso, ha llevado a cabo campañas de phishing para robo de credenciales durante la semana pasada contra organizaciones gubernamentales y militares de Polonia y Ucrania.
  • Mustang Panda a.k.a Temp.Hex, con sede en China, apuntó a entidades europeas con señuelos relacionados con la invasión de Ucrania. Se identificaron archivos adjuntos maliciosos con nombres  como “Situación en las fronteras de la UE con Ucrania.zip'. El archivo zip contiene un ejecutable del mismo nombre que es un “downloader” de primera etapa, que cuando se ejecuta, descarga varios archivos adicionales que contienen la infección final.



Panorama

Considerando la “falsa sensación de tranquilidad” que las redes y medios de comunicación han intentado transmitir en el último tiempo, es innegable que en el campo de “batalla” de la ciberseguridad, se libra un constante combate, entre dos o más “frentes”, que simpatizan o no con el estado actual de las operaciones de Rusia contra Ucrania.

Se ha observado  el uso de “armas destructivas” en contra del gobierno ucraniano, el que ha sido protagonista directo de la ejecución de ciberoperaciones en su contra, los que han gatillado una serie de eventos adversos, tanto para la población como para actores directamente relacionados con el gobierno.

Por otra parte, ya mencionado en boletines anteriores, no se debe descuidar aquellas actividades que involucran grupos APT y de complejas operaciones de índole político - estratégico, dado que el foco de muchos ataques llevados a cabo contra organizaciones del rubro de las Telecomunicaciones, tiene por objetivo tomar el control de nodos de comunicaciones y así, acceder al tráfico de miles o millones de usuarios.

Otro punto importante respecto a los acontecimientos de la última semana, es aquel que hace relación al descubrimiento de un nuevo Wiper Malware, el que estará siendo desplegado contra organizaciones y gobierno de Rusia, con el único objetivo de causar daño y la pérdida irrecuperable de información. Esto, puede dar un indicio de que Ucrania, o aliados del país, podrían estar organizando respuestas a los ataques llevados a cabo por Rusia, preparando alguna clase de “arma” que igual o superior en capacidades, podría impactar favorablemente a los “aliados ucranianos” en algunas operaciones de tipo estratégicas.

Siempre es importante recordar que actores maliciosos presentes en este escenario, podrían aprovechar el “pánico ajeno” y llevar a cabo actividades para obtener algún beneficio económico (ya anunciado en boletin Guerra Rusia-Ucrania: desde el uso de malware del tipo “Wiper” hasta ingeniería social 

Finalmente, indicar una “alerta” preventiva a sectores de infraestructura crítica, los que son objetivo indiscutible en situaciones como la guerra, ya que representan el engranaje principal para el funcionamiento de una nación.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
  • Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
  • Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" 
  • Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
  • Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
  • Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
  • Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
  • Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
  • Si su organización opera o interactúa con organizaciones de Ucrania, tenga especial cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revisar en detalle los controles de acceso para ese tráfico en específico.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
    • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
    • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
    • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas 
    • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
    •  Implemente políticas de acceso restrictivo, según las necesidades de su organización.
    • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
    • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
    • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
    • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
    • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
    • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
    • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
    • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
    • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
    • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
    • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
    • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
    • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
    • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.

Tags: #Rusia #Ucrania #Guerra #Anonymous #APT #Ciberactores #wiper #RURansom #ransomware #phishing #Dataleak #Kaspersky #Roskomnadzor #NB65 #NetworkBatallion65 #censura #RRSS #CCTV
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.