Reportes de Seguridad

La guerra cibernética en Ucrania y Rusia domina el panorama de amenazas

Avast publicó su Informe de Amenazas Q1/2022 (primer trimestre de 2022) que revela amenazas cibernéticas que giran en torno a la guerra física entre Rusia y Ucrania. El último informe arroja luz sobre un grupo APT atribuido a Rusia que ataca a los usuarios en Ucrania, herramientas DDoS que se utilizan contra los sitios rusos y ataques de ransomware dirigidos a empresas en Ucrania. Además, los hallazgos muestran que las ciberpandillas se han visto afectadas por la guerra física, causando una ligera disminución en el ransomware y la interrupción temporal del ladrón de información, Racoon Stealer.

Guerra cibernética: Ucrania y Rusia
“A menudo vemos paralelismos entre lo que está sucediendo en el mundo real y el panorama de amenazas cuando se trata de cómo se propagan las amenazas y sus objetivos. En el primer trimestre de 2022 vimos un aumento significativo en los ataques de tipos particulares de malware en países involucrados en la guerra. En comparación con el cuarto trimestre de 2021, vimos un aumento de más del 50% en la cantidad de ataques troyanos de acceso remoto (RAT) y un aumento de más del 20% en los ataques de malware de robo de información que bloqueamos en Ucrania, Rusia y Bielorrusia, que podrían usarse para la recopilación de información o espionaje “, dijo Jakub Kroustek, Director de Investigación de Malware de Avast. “También bloqueamos un 30% más de intentos de infectar nuevos dispositivos para unirse a botnets en Rusia, y un aumento del 15% en Ucrania, con el objetivo de construir ejércitos de dispositivos que puedan llevar a cabo ataques DDoS en medios y otros sitios web e infraestructuras cruciales. Por otro lado, bloqueamos un 50% menos de ataques de adware en Rusia y Ucrania, lo que podría deberse a que menos personas van en línea, especialmente en Ucrania”.

Justo antes de que comenzara la guerra en Ucrania, Avast Threat Labs rastreó varios ataques cibernéticos, que se cree que fueron llevados a cabo por grupos rusos de APT. Gamaredon, un grupo APT conocido y activo, aumentó actividad rápidamente al final de febrero, extendiendo su malware a un amplio grupo de objetivos, incluidos los consumidores, en busca de víctimas de interés para llevar a cabo espionaje. El ransomware llamado HermeticRansom, para el que Avast lanzó una herramienta de descifrado, se propagó presumiblemente también por un grupo APT.

Los investigadores de Avast rastrearon herramientas promovidas por comunidades hacktivistas para llevar a cabo ataques DDoS en sitios web rusos. Los investigadores detectaron páginas web, incluido un sitio de pronóstico del tiempo, que incorporaban el código utilizado para llevar a cabo estos ataques a través del navegador de los visitantes sin su consentimiento. Este tipo de ataques disminuyeron hacia el final del trimestre. Una botnet vendida como servicio se utilizó para una campaña DDoS en marzo en relación con el grupo de ransomware Sodinokibi (REvil). Además, los autores de malware han utilizado la guerra para propagar malware, como troyanos de acceso remoto (RAT) mediante la difusión de correos electrónicos con adjuntos maliciosos que afirman contener información importante sobre la guerra.

La guerra de Ucrania afecta las operaciones de cibercrimen
Los autores y operadores de malware se han visto directamente afectados por la guerra, como la supuesta muerte del desarrollador líder de Raccoon Stealer, que resultó en la interrupción temporal del malware de robo de información.

Avast Threat Labs también continuó observando una ligera disminución del 7% en los ataques de ransomware en todo el mundo en el primer trimestre de 2022, en comparación con el último trimestre de 2021, lo cual se cree que fue causado por la guerra en Ucrania, desde donde operan muchos operadores de ransomware y afiliados. Con esto, los ataques de ransomware han disminuido por segundo trimestre consecutivo. En el último trimestre de 2021, la disminución fue causada por una cooperación de naciones, agencias gubernamentales y proveedores de seguridad que persiguen a los autores y operadores de ransomware. Otras causas de la disminución podrían ser que uno de los grupos de ransomware más activos y exitosos, Maze, cerró sus operaciones en febrero, y la tendencia continua de las bandas de ransomware que se centran más en ataques dirigidos a objetivos grandes (caza mayor) que en usuarios habituales a través de técnicas de pulverización y oración.

La guerra causó una grieta dentro de la pandilla de ransomware Conti, con un investigador ucraniano filtrando archivos internos del negocio y el código fuente de la pandilla al ransomware Conti, después de que el grupo declarara lealtad a Rusia, prometiendo represalias de ransomware por ataques cibernéticos contra Rusia. Las filtraciones resultaron temporalmente en una disminución del ransomware Conti.
México, Japón e India son excepciones, donde las probabilidades de que un usuario se encuentre con ransomware aumentaron en un 120%, 37% y 34% respectivamente en el primer trimestre de 2022 en comparación con el cuarto trimestre de 2021.

Asimismo, en México en el primer trimestre de 2022 Avast observó más de 34 mil golpes de Casbaneiro. Un patrón típico compartido entre estos grupos es la cadena de entrega de múltiples etapas que utiliza lenguajes de secuencias de comandos para descargar e implementar la carga útil de la siguiente etapa mientras emplea técnicas de carga lateral de DLL para ejecutar la etapa final.

La cuota de mercado de Emotet se duplicó, TDS difundió campañas maliciosas
Además, el informe revela que Emotet duplicó su cuota de mercado desde el último trimestre. En particular, Avast observó un aumento significativo en los intentos de infección de botnets de Emotet en marzo. Además, un sistema de dirección de tráfico (TDS), llamado Parrot TDS se encontró difundiendo campañas maliciosas a través de 16.5 mil sitios infectados. El informe también incluye un resumen de cómo los investigadores de Avast reunieron pistas para descubrir cómo Meris, una de las redes de botnet-as-a-service más grandes, compuesta principalmente por más de 230 mil dispositivos MikroTik vulnerables, facilitó múltiples ataques a gran escala en los últimos años.

En el lado móvil, los ladrones están cambiando de tácticas cuando se trata de difundir adware y subscripciones de SMS premium, que siguen siendo frecuentes. Si bien Google Play Store se ha utilizado anteriormente para distribuir estas amenazas, los criminales ahora están utilizando ventanas emergentes del navegador y notificaciones para difundir aplicaciones maliciosas entre los consumidores.

Artículos relacionados: