Ciberdelincuentes rusos están utilizando su presencia dentro de las redes de organizaciones del Reino Unido, Estados Unidos y otros países, para lanzar ataques contra Ucrania, según ha revelado un nuevo informe de Lupovis.
La empresa de seguridad escocesa instaló una serie de señuelos en la red para atraer a las amenazas rusas y estudiar sus tácticas, técnicas y procedimientos (TTP).
Se trataba de falsos documentos “honeyfile” filtrados a foros de ciberdelincuentes y falsificados para contener lo que parecían ser nombres de usuario, contraseñas y otra información crítica.
Otros señuelos incluían portales web configurados de forma insegura y diseñados para imitar sitios políticos y gubernamentales ucranianos, y “servicios de alta interacción y ssh”. Estos últimos estaban configurados para aceptar las credenciales falsas de los portales web.
El ejercicio puso de relieve lo preparados y listos que están los agentes de amenazas rusos para aprovechar cualquier indicio de objetivos ucranianos. Entre 50 y 60 personas interactuaron con sólo cinco señuelos, muchos de los cuales llegaron a los honeypots apenas un minuto después de su activación.
Los intrusos intentaron llevar a cabo diversos ataques, desde el reconocimiento de la información de los señuelos hasta su reclutamiento en redes de bots DDoS, pasando por la explotación de inyecciones SQL y otros fallos.
Más impactante fue lo que Lupovis descubrió posteriormente.
Lupovis planteó la hipótesis de que los actores de la amenaza pueden ser ciberdelincuentes rusos en lugar de actores estatales.
“Dado que nuestra investigación muestra que más de 15 organizaciones sanitarias se han visto comprometidas por delincuentes rusos, esto podría sugerir que los atacantes están trabajando bajo el radar en sus redes y utilizando su acceso para lanzar ataques contra otras instituciones”, argumentó.
“Una vez descubiertos, lanzan ataques de ransomware contra los sistemas de las organizaciones sanitarias o realizan violaciones de datos. Esto sugeriría que los atacantes están maximizando todas las herramientas de su arsenal para comprometer una organización antes de pasar a su próxima víctima.”
Info – Ciberseguridad Latam