Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.
En una nueva publicación, CheckPoint Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.
Nombre del APT |
Origen APT |
Sector al que se dirige |
Países objetivo |
El Machete |
Países hispanohablantes |
Financiero, Gubernamental |
Nicaragua, Venezuela |
Lyceum |
La República Islámica de Irán |
Energía |
Israel, Arabia Saudí |
SideWinder |
Posiblemente la India |
Desconocido |
Pakistán |
Características del malware
Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen:
Metodología de ataque
El Machete
Lyceum
SideWinder
Los documentos con temática de Rusia/Ucrania se convierten en un señuelo
El Machete
Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.
Figura 1 - Documento señuelo que contiene un artículo sobre el conflicto Rusia-Ucrania, enviado por El Machete APT a instituciones financieras nicaragüenses.
Lyceum:
A mediados de marzo, una empresa energética israelí recibió un email de la dirección inews-reporter@protonmail[.]com con el asunto “Crímenes de guerra rusos en Ucrania”. El mensaje contenía unas cuantas imágenes extraídas de medios de comunicación públicos y contenía un enlace a un artículo alojado en el dominio news-spot[.]live. Este enlace conducía a un documento que tenía el artículo “Researchersgatherevidence of possible Russian warcrimes in Ukraine”, publicado por The Guardian. El mismo dominio albergaba otros documentos maliciosos relacionados con Rusia y con la guerra entre Rusia y Ucrania, como una copia de un texto de The Atlantic Council de 2020 sobre las armas nucleares rusas, y una oferta de trabajo para un agente de “extracción/protección” en Ucrania.
Figura 2. Correo electrónico de reclamo utilizando el tema del conflicto Rusia-Ucrania, enviado por el grupo Lyceum.
Figura 3 - Documentos señuelo relacionados con la guerra entre Rusia y Ucrania utilizados por el grupo Lyceum APT.
SideWinder:
Este documento malicioso de Sidewinder, que también se aprovecha de la guerra entre Rusia y Ucrania, se subió a VirusTotal (VT) a mediados de marzo. A juzgar por su contenido, los objetivos previstos son entidades pakistaníes; el cebo contiene un texto del Instituto Nacional de Asuntos Marítimos de la Universidad Bahria en Islamabad, y se titula “Charla centrada en el impacto del conflicto ruso-ucraniano en Pakistán”. Este archivo malicioso utiliza la inyección remota de plantillas. Cuando se abre, recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
Figura 4 - Modelo de carta relacionado con la guerra entre Rusia y Ucrania, usado por Sidewinder APT
“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Creemos firmemente que todas estas están diseñadas con la principal motivación del ciberespionaje. Nuestros descubrimientos muestran una clara tendencia: las actividades colaterales en torno a la guerra entre Rusia y Ucrania se han convertido en un señuelo para los grupos de amenazas de todo el mundo. Recomiendo encarecidamente a los gobiernos, los bancos y las empresas energéticas que reiteren la concienciación y la educación en ciberseguridad a sus empleados, y que apliquen soluciones de ciberseguridad que protejan su red a todos los niveles”, concluye Nieva.
Últimas cifras globales de ciberataques a Ucrania, Rusia y los países de la OTAN
Recientemente, Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. Asimismo, se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto. Los investigadores han compartido los datos de ciberataques de los países y regiones de la OTAN, entre otros.