Skip to main content

Piratas informáticos haciéndose pasar por miembros del Servicio de Seguridad de Ucrania infectan 100 ordenadores del gobierno

agosto 13, 2024


Los atacantes que se hacen pasar por el Servicio de Seguridad de Ucrania (SSU) han utilizado correos electrónicos spam maliciosos para atacar y comprometer los sistemas que pertenecen a las agencias gubernamentales del país.

El lunes, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) reveló que los atacantes infectaron con éxito más de 100 computadoras con el malware AnonVNC.

Algunas muestras fueron firmadas utilizando el certificado de firma de código de lo que parece ser una empresa china (Shenzhen Variable Engine E-commerce Co Ltd).

«Buenas tardes, en relación con la inspección integral de varias organizaciones, le solicito que envíe a la Dirección General del SBU a la dirección 01601, Kiev 1, calle Malopodvalna, 16, la lista de documentos solicitados hasta el 15 de agosto de 2024. Descargue la solicitud oficial: Dokumenty.zip», se lee en los correos electrónicos maliciosos, que enlazan a un archivo adjunto que pretende ser una lista de documentos requeridos por el SSU.

Estos ataques comenzaron hace más de un mes, alrededor del 12 de julio, con correos electrónicos que enviaban hipervínculos a un archivo Documents.zip que en su lugar descargaría un archivo MSI de instalación de Windows desde gbshost.[.]red diseñada para distribuir el malware.

Si bien CERT-UA no proporciona una descripción exacta de las capacidades del malware, afirmó que permitió al grupo de amenazas identificado como UAC-0198 acceder a las computadoras comprometidas de forma encubierta.

Flujo de ataque (CERT-UA)

«CERT-UA ha identificado más de 100 computadoras afectadas, en particular, entre organismos gubernamentales centrales y locales», CERT-UA dicho.

«Cabe señalar que se han llevado a cabo ciberataques relacionados desde al menos julio de 2024 y pueden tener una geografía más amplia».

Ucrania bajo ataque

El mes pasado, la empresa de ciberseguridad Dragos reveló que un ciberataque de finales de enero de 2024 utilizó el malware FrostyGoop vinculado a Rusia para cortar la calefacción de más de 600 edificios de apartamentos en Lviv, Ucrania, durante dos días con temperaturas bajo cero.

FrostyGoop es el noveno malware para sistemas de control industrial descubierto, y muchos de ellos están vinculados a grupos de amenazas rusos. Mandiant descubrió Energía cósmicay ESET lo detectó Industria 2que los piratas informáticos de Sandworm utilizaron en un ataque fallido a un proveedor de energía ucraniano.

En abril, CERT-UA también revelado que el notorio grupo de piratas informáticos militares rusos Sandworm atacó, y en algunos casos vulneró, 20 organizaciones de infraestructura crítica de energía, agua y calefacción en Ucrania.

En diciembre, Sandworm también hackeó y Borró miles de sistemas en la red de Kyivstarel mayor proveedor de servicios de telecomunicaciones de Ucrania. En total, como reveló CERT-UA en octubre, Violaron las redes de 11 proveedores de servicios de telecomunicaciones ucranianos desde mayo de 2023.

La Dirección Principal de Inteligencia (GUR) del Ministerio de Defensa de Ucrania también afirmó que hackearon el ministerio de defensa ruso en marzo, después de haber asumido previamente la responsabilidad por violaciones de la Centro Ruso de Hidrometeorología Espacialel Agencia Federal Rusa de Transporte Aéreoy el Servicio Federal de Impuestos de Rusia.



Source link

Translate »