El equipo de investigadores del Grupo de Análisis de Amenazas (TAG en ingles) de Google, ha comentado una investigación que diferentes ex-miembros de la banda de Ransomware Conti, se abrían unido al grupo de amenazas rastreado como UAC-0098, y que se encontrarían apuntando a organizaciones ucranianas y organizaciones no gubernamentales (ONG) europeas.
Contexto, UAC-0098 es un grupo de amenazas dedicado a ofrecer vectores de acceso inicial. Son muy conocidos por utilizar el troyano bancario, IcedID, para proporcionar a los grupos de ransomware acceso a los sistemas comprometidos dentro de las redes empresariales. En simples palabras, facilitan el trabajo de los afiliados de los ransomware en obtener el acceso a una red corporativa, sin tener que llegar a realizar un ataque como tal.
El Grupo de Análisis de Amenazas (TAG) de la gran G, comenzó a rastrear este grupo de amenazas en el mes de abril, después de detectar una campaña de phishing que empujó la puerta trasera de AnchorMail, vinculada a Conti.
«En el encuentro inicial con UAC-0098, se observó por primera vez ‘»lackeyBuilder«. Este es un constructor previamente no revelado para AnchorMail, una de las puertas traseras privadas utilizadas por el grupo Conti«, dijo Google TAG.
«Y desde entonces, el actor de amenazas utilizó constantemente estas herramientas y servicios tradicionalmente empleados por los actores del cibercrimen con el fin de adquirir un acceso inicial: el troyano IcedID, el creador de documentos maliciosos EtterSilent y el servicio de distribución de malware de ingeniería social, Stolen Image Evidence«.
Los ataques de este grupo se observaron entre mediados de abril y mediados de junio del presente año, con cambios frecuentes en sus tácticas, técnicas y procedimientos (TTP), herramientas y señuelos, mientras apuntaban a organizaciones ucranianas (como cadenas hoteleras) y se hacían pasar por la Policía Cibernética Nacional de Ucrania, o representantes de Elon Musk y StarLink.
En campañas posteriores, UAC-0098 fue pillado entregando payloads maliciosos de IcedID y Cobalt Strike en ataques de phishing dirigidos a organizaciones ucranianas y ONG europeas.
Según Google TAG, su atribución se basa en múltiples superposiciones entre UAC-0098, Trickbot y el grupo de cibercrimen, Conti.
«Sobre la base de múltiples indicadores, TAG evalúa que algunos miembros de UAC-0098 son ex miembros del grupo de Conti, que reutilizan sus técnicas para apuntar a Ucrania«, agregó Google TAG.
«TAG evalúa que UAC-0098 actuó como un ‘corredor‘ de accesos iniciales para varios grupos de ransomware, incluidos Quantum y Conti, una banda de origen rusa conocidas como FIN12/WIZARD SPIDER.»
«Las actividades de UAC-0098 son ejemplos representativos de las líneas borrosas entre grupos financieramente motivados y respaldados por el gobierno en Europa del Este, lo que ilustra una tendencia de que los actores de amenazas que cambian su orientación para alinearse con los intereses geopolíticos regionales del mejor postor«.
Las actividades del grupo de amenazas detectadas y reveladas el día de ayer por Google, también se alinean con informes anteriores de IBM Security X-Force y CERT-UA, que también vincularon los ataques contra organizaciones ucranianas y entidades gubernamentales con las bandas de TrickBot y Conti.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
