Estos ataques podrían haber sido diseñados para afectar la infraestructura de Internet del país y podrían estar relacionados con los ataques DDoS que se llevaron a cabo contra el Departamento de Defensa y los Bancos de Ucrania.
Ciudad de México, México, XX
de marzo de 2022 — Avast (LSE:AVST), líder mundial en seguridad digital y privacidad,
informa que durante febrero, poco antes de que Rusia invadiera Ucrania, se
observó un mayor número de ataques de phishing en el ciberespacio ucraniano.
Los ataques observados se dirigieron a un productor de hardware de
infraestructura de red, un administrador de dominio, así como a servicios e
instituciones en diferentes áreas como envío, web hosting, plataformas para
reclutadores y comercializadores.
Las RAT (herramientas de
acceso remoto por sus siglas en inglés) y el malware de robo de contraseñas,
como AgentTesla o FormBook, se incluyeron como archivos adjuntos en los correos
electrónicos de phishing que se propagaban con líneas de asunto relacionadas
con facturas y pagos. Estos ataques podrían haber sido diseñados para afectar
la infraestructura de Internet del país y podrían estar relacionados o servir
para complementar los ataques DDoS que se llevaron a cabo contra el
Departamento de Defensa y los Bancos de Ucrania justo antes de que Rusia
invadiera el país.
Avast determinó el valor
promedio de la cantidad de ataques de phishing por día, antes de que comenzara
la guerra en Ucrania. Se pueden observar dos picos significativos el 16 de
febrero y del 21 al 23 de febrero.
Figura 1. Ataques de phishing en
Ucrania
Las ciudades más afectadas
por los ataques fueron Kyiv (36%), Odessa (29%), Lviv (6%), Mariupol
(5%).
Por su parte, las líneas de
asunto de los correos electrónicos de phishing se dirigieron principalmente a
los departamentos de contabilidad e incluyen:
- Pago SWIFT
- Pago
de factura: MT103_Swift Copy
- Transferencia
bancaria a la cuenta de su empresa
- Asunto: orden de compra
- Re: Confirmación de
transferencia
Asimismo, se detectó que los
archivos adjuntos de correo electrónico contenían una combinación de RAT y
malware de robo de contraseñas, como AgentTesla o FormBook.
Primera ola de ataques
digitales
Avast detectó el primer pico
significativo el 16 de febrero. El mayor ataque que se identificó fue dirigido
a un administrador de dominio ucraniano, ukrnames.com. Este también brinda
registro de nombres de dominio, alojamiento de sitios web, registro de
certificados SSL, entre otros.
La segunda ola de ataques
identificada se dirigió a un proveedor de hardware ubicado en Lviv, el cual
proporcionaba equipos para infraestructuras de red (lanbox.com.ua).
De acuerdo con datos de
Avast, el sitio solo fue atacado el 16 de febrero. La gran mayoría de los
ataques de ukrnames.com también ocurrieron el 16 de febrero; solo se
monitorearon algunos incidentes el 17, 18 y 21 de febrero. Tanto los ataques a ukrnames.com
como a Lanbox parecen haber sido dirigidos. La siguiente tabla muestra la
relación porcentual de los ataques dirigidos:
Una segunda ola de ataques
La segunda ola de estos
ataques digitales ocurrió del 21 al 23 de febrero. Esta ola consistió en una
gama más amplia de ataques a servicios e instituciones en diferentes áreas como
envío, alojamiento web, plataformas para reclutadores y vendedores. No se
identificó ningún ataque significativo contra un objetivo específico en esta
ola.
Ataques mediante archivos adjuntos en correos electrónicos
Las líneas de asunto de los
correos electrónicos de phishing y el malware incluido en los archivos adjuntos
han ayudado a identificar archivos específicos utilizados en los ataques de
phishing basados en el sistema trampa de correo de Avast.
El contenido de los correos
electrónicos se disfraza como comunicaciones comerciales estándar o correos
electrónicos informativos.
El tipo más común de
archivos adjuntos sospechosos han sido los archivos .pdf y .docx. Estos
documentos de Microsoft Word generalmente contienen una imagen que parece una
ventana emergente con un mensaje que solicita a los usuarios que habiliten el
contenido de los documentos, lo que provoca una serie de cargas maliciosas,
como se puede ver en las imágenes a continuación.
En el caso de los correos
electrónicos .docx solo contienen una imagen con un mensaje y un código macro
malicioso oculto, es decir que, si el usuario hace clic en "Habilitar
edición”, se inicia la carga dañina y, por lo general, comienza a descargar malware
que puede tomar el control de la computadora de la víctima.
El segundo tipo de archivo
es un .pdf, el cual contiene una imagen que promete un descuento en combustible
si el usuario hace clic en la imagen. En realidad, el usuario es redirigido a
un sitio web sospechoso con contenido malicioso.
Es evidente que las empresas
ucranianas no se han librado de los ataques de phishing, y los atacantes tienen
como objetivo las infraestructuras de comunicación locales, los proveedores de
redes y otros servicios.
Por ello, para protegerse de
este tipo de ataques, Avast recomienda a los usuarios no abrir ni habilitar
contenidos de archivos adjuntos desconocidos y sospechosos. Los datos recientes
sugieren que los ataques de phishing contra los ucranianos se han ralentizado,
lo que probablemente se deba a los combates en curso y a que las personas pasan
menos tiempo en línea. Avast continuará monitoreando las actividades de
phishing en la región.
No hay comentarios:
Publicar un comentario