Setores críticos da Ucrânia são alvo de aumento de ataques de phishing
As tentativas de interromper o ciberespaço ucraniano parecem ter aumentado no final de 2022, dizem observadores independentes das redes do país, enquanto a Rússia continua pressionando sua invasão.
Ataques de phishing e campanhas de malware visando a Ucrânia aumentaram acentuadamente em novembro, antes de cair no final do ano, diz a empresa de segurança Trellix . O mesmo aconteceu com os alertas de segurança de terminais na região vinculados a “programas potencialmente indesejados”.
O aumento nos ataques é paralelo às descobertas de outros observadores de ataques cibernéticos. O grupo sem fins lucrativos CyberPeace Institute , com sede em Genebra, diz que houve 918 ataques cibernéticos e operações ligadas ao conflito desde janeiro de 2022 (consulte: Ucrânia: o foco dos hackers russos é a infraestrutura civil ).
O instituto registrou em novembro um aumento repentino nos ataques online relacionados à guerra da Rússia em comparação com o volume do mês anterior. A única exceção foi a Federação Russa, que viu diminuir o volume de ataques contra ela.
Durante a guerra, dizem os especialistas, o governo da Ucrânia, energia, transporte, serviços financeiros e outros setores de infraestrutura crítica permanecem entre os principais alvos dos ataques online. “Desde e-mails e URLs maliciosos até o uso de malware apoiado por um estado-nação, a ciberatividade continua a acompanhar a atividade militar cinética e o descontentamento social”, dizem os pesquisadores da Trellix.
O que pode explicar o aumento ou a diminuição nos últimos meses de 2022 não está claro, especialmente em um momento em que o chefe da inteligência dos EUA disse que a cadência de ataques diminuiu.
“Já estamos vendo uma espécie de ritmo reduzido do conflito”, disse a diretora de inteligência nacional Avril Haines aos participantes do Fórum de Defesa Nacional Reagan em 3 de dezembro, “e esperamos que seja o que veremos nos próximos meses.”
A Trellix relata que em novembro e dezembro passado, o volume observado de ataques de phishing atingindo a Ucrânia aumentou vinte vezes, e a maioria dos ataques teve como alvo endereços de e-mail registrados no domínio de nível .ua
superior, usado por agências governamentais e militares. Embora o remetente tenha sido frequentemente falsificado, “a grande maioria” desses ataques parece ser rastreada ao grupo Gamaredon, patrocinado pelo estado da Rússia, assim chamado porque os primeiros ataques do grupo incluíam mensagens com a palavra “armageddon” incorreta.
O aumento de programas potencialmente indesejados está relacionado a tentativas de infectar sistemas com malware projetado para se parecer com software de pirataria de produtos da Adobe. Trellix diz que todos esses ataques são rastreados “para um único programa de ativação de software destinado a ativar a Adobe” e diz que, embora o uso de “ativadores de licenças piratas” continue generalizado, um grande número deles são falsos, projetados exclusivamente para infectar um sistema com malware. .
Falando taticamente, as tentativas de phishing também não pareciam avançadas. Muitos deles confiaram em táticas amplamente vistas, como o uso de planilhas do Microsoft Excel habilitadas para macro, documentos do Microsoft Word e arquivos de atalho LNK do Windows.
Os exemplos de e-mail de phishing recuperados pela Trellix incluem aqueles que supostamente vêm do Ministério das Relações Exteriores da Estônia, compartilhando detalhes de contato, mas que redirecionam para um arquivo malicioso hospedado no Google Drive; uma “notificação de envio” em HTML que redireciona para uma página de phishing; e uma solicitação dos militares ucranianos para verificar uma caixa de correio que contém um link para um site malicioso.
Ataques de Andrômeda
Além das campanhas de phishing do grupo Gamaredon, a Trellix relata que nos últimos meses também viu uma série de ataques usando o H-Worm – também conhecido como Houdini RAT – Trojan de acesso remoto, inclusive em “ataques direcionados contra a indústria internacional de energia”; Malware para roubo de informações de formulários; Software de controle remoto Remcos; e malware Andromeda.
Os ataques de Andrômeda foram incomuns. Visto pela primeira vez em 2011, o Andromeda é um malware pronto para uso comercial que continua a ser atualizado. Mas o grupo de resposta a incidentes do Google, Mandiant, informou em 5 de janeiro que viu uma versão de 2013 do Andromeda sendo usada pelo que suspeita ser o grupo de hackers russo Turla , também rastreado como Venomous Bear e Krypton.
Em setembro, a Mandiant descobriu uma operação suspeita da Turla Team distribuindo o utilitário de reconhecimento KopiLuwak e o backdoor QuietCanary para vítimas do malware Andromeda na Ucrânia, informou. Os operadores de malware registraram novamente pelo menos três domínios de comando e controle expirados do Andromeda e começaram a traçar o perfil das vítimas para implantar seletivamente o KopiLuwak e o QuietCanary.
Mandiant diz que a infecção parece ter começado em dezembro de 2021, quando a vítima conectou um dispositivo USB infectado a um sistema Windows e clicou em um link de arquivo malicioso disfarçado de pasta.
Não está claro por que os invasores em 2022 queriam usar malware da era de 2013 vinculado a domínios que foram forçados a registrar novamente primeiro. Então, novamente, “malware e infraestrutura mais antigos podem ser mais propensos a serem ignorados pelos defensores que triam uma ampla variedade de alertas”, dizem os pesquisadores da Mandiant.