Los ciberexpertos ucranianos han descubierto una nueva campaña de ataque por parte de presuntos actores de amenazas rusos que compromete las cuentas VPN de las víctimas para acceder y cifrar los recursos de la red.
El Equipo de Respuesta a Emergencias Informáticas (CERT) del país señaló en un nuevo comunicado que el llamado ransomware Somnia estaba siendo utilizado por el FRwL (alias Z-Team), también identificado como UAC-0118.
El compromiso inicial se logra engañando a las víctimas para que descarguen el software “Advanced IP Scanner”, que en realidad contiene el malware Vidar. El CERTU-UA cree que esto se logró mediante corredores de acceso inicial (IAB) que trabajan para los rusos.
“Hay que tener en cuenta que el Vidar stealer, entre otras cosas, roba los datos de la sesión de Telegram, lo que, en ausencia de una autenticación de dos factores configurada y un código de acceso, permite el acceso no autorizado a la cuenta de la víctima”, continúa el comunicado.
“Resultó que el Telegram de la víctima se utilizó para transferir archivos de configuración de la conexión VPN (incluyendo certificados y datos de autenticación) a los usuarios. Dada la falta de autenticación de dos factores al establecer una conexión VPN, los atacantes fueron capaces de obtener una conexión no autorizada a la red corporativa.”
Una vez dentro, los atacantes realizaron labores de reconocimiento utilizando la herramienta Netscan y luego lanzaron Cobalt Strike Beacon, exfiltrando datos utilizando el programa Rclone. También hay indicios de que los actores de la amenaza utilizaron Anydesk y Ngrok en esta fase.
No está claro el alcance de la campaña, aunque se cree que “varias” organizaciones ucranianas se han visto afectadas desde la primavera de 2022.
El CERT-UA confirmó que el objetivo final no es generar beneficios con un rescate, sino destruir los entornos de las víctimas.
Info – Ciberseguridad Latam