El siguiente post tiene como objetivo la recopilación de hechos relacionados a los ciberataques y medidas que se están tomando debido al conflicto entre Ucrania y Rusia.
Indicadores de Compromisos: Haz clic aquí
23/02/2022:
17:25 PM: Dos empresas de ciberseguridad con fuerte presencia comercial en Ucrania, ESET y Symantec, han informado el día de ayer que las redes informáticas del país han sufrido un nuevo ataque de borrado de datos. El ataque se produce mientras las tropas militares rusas han cruzado la frontera e invadido el territorio de Ucrania en lo que el presidente ruso Putin ha descrito como una misión de «mantenimiento de la paz«.
24/02/2022:
15:46 PM: Rusia bloquea el acceso al sitio web mil.ru, con un error HTTP 418. El sitio es posible acceder vía VPN Rusas. Se podría interpretar que Rusia estará intentando evitar un ataque masivo a sus sitios webs, tras los acontecimiento en Ucrania.
16:45 PM: El portal del Ministerio de Política Agraria y Alimentación de Ucrania (tangodown) ha vuelto a ser intervenido el jueves para incluir un link a la DarkWeb donde se exponen múltiples DataLeaks con información sensible del gobierno y los ciudadanos.
25/02/2022:
09:58 AM: Se registran múltiples sitios webs para realizar «donaciones» a los afectados en Ucrania. Los sitios webs son falsos y están hechos para realizar estafas a escala masiva.
03:09 AM: Las autoridades ucranianas afirmaron este viernes que diferentes actores de amenazas patrocinados por el Estado bielorruso están tratando de comprometer las cuentas de correo electrónico de su personal militar.
Mediante un comunicado en la cuenta de Facebook del CERT-UA, dicen «Recientemente se han observado correos electrónicos masivos de phishing dirigidos a las cuentas privadas (i.ua) y (meta.ua) del personal militar ucraniano y personas relacionadas.
El grupo «UNC1151«, con sede en Minsk, está detrás de estas actividades. Sus miembros son funcionarios del Ministerio de Defensa de la República de Bielorrusia».
13:21 PM: El grupo de cibercriminales Conti Ransomware muestra su apoyo a la Federación de Rusia y amenaza con realizar ciberataques con toda su infraestructura a todos los países que la ataquen.
«Si alguien decide organizar un ataque cibernético o cualquier actividad de guerra contra Rusia, utilizaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas de un enemigo«.
15:59 PM: La pandilla de CoomingProject da su apoyo a Rusia y amenaza con ayudar al gobierno si son atacados. Los mismos pasos de Conti Ransomware.
16:31 PM: Conti Ransomware lanza un nuevo comunicado, corrigiendo con lo publicado anteriormente.
Cito «Como respuesta al belicismo occidental y a las amenazas estadounidenses de utilizar la guerra cibernética contra los ciudadanos de la Federación Rusa, el Equipo Conti anuncia oficialmente que utilizaremos toda nuestra capacidad para aplicar medidas de represalia en caso de que los belicistas occidentales intenten atacar infraestructuras críticas en Rusia o en cualquier región de habla rusa del mundo. No nos aliamos con ningún gobierno y condenamos la guerra en curso. Sin embargo, dado que se sabe que Occidente libra sus guerras atacando principalmente a civiles, utilizaremos nuestros recursos para contraatacar si el bienestar y la seguridad de ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense.«
La primera publicación sobre su apoyo a Rusia ha sido eliminado del sitio, lo interesante es que ahora dicen que «No nos aliamos con ningún gobierno y condenamos la guerra en curso«. ¿Sospechoso, no?
26/02/2022: «El hacktivismo (o los servicios de inteligencia que se hacen pasar por hacktivistas) ha regresado con fuerza desde que comenzó la guerra ruso-ucraniana. Hay tantas filtraciones interesantes (aún no verificadas) volando por Twitter y Telegram estos días que apenas puedo seguir el ritmo.» Dijo, Catalin Cimpan en su cuenta de Twitter.
12:54 PM: Un grupo desconocido de personas había violado las estaciones de televisión rusas, obligándolos a reproducir canciones ucranianas. Imágenes de este evento han aparecido en TikTok.
18:57 PM: Rusia confirma un «ataque informático sin precedentes» contra sus páginas web institucionales.
19:40 PM: La Unión Europea y EE.UU comenzarán a eliminar los bancos rusos del sistema SWIFT.
27/02/2022:
08:13 AM: La pandilla AgainstTheWest afirmó haber atacado a las agencias gubernamentales rusas con un ransomware personalizado y malware de limpieza y datos filtrados.
19:19 PM: El grupo de ransomware Conti emitió previamente un mensaje del lado del gobierno ruso.
Hoy, un miembro de Conti ha comenzado a filtrar datos con el mensaje «¡Que se joda el gobierno ruso, gloria a Ucrania!«
23:40 PM: El grupo Bielorrusia Cyber-Partisons, realizó un ataque cibernético contra la infraestructura ferroviaria de Bielorrusia, diseñado para detener los movimientos militares rusos. Los trenes se detuvieron en Minsk, Orsha y Osipovichi El sistema ferroviario utiliza Windows XP.
Un usuario anónimo vía Twitter con el nombre de @ContiLeaks, ha empezado a filtrar conversaciones internas con los diferentes afiliados, cabecillas, servicios estatales rusos, etc. Hasta el momento de realizar esta actualización, el usuario sigue publicando nueva data.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
