Blog

Ex-miembros de Conti Ransomware tendrían en la mira a organizaciones Ucranianas y Europeas

El equipo de investigadores del Grupo de Análisis de Amenazas (TAG en ingles) de Google, ha comentado una investigación que diferentes ex-miembros de la banda de Ransomware Conti, se abrían unido al grupo de amenazas rastreado como UAC-0098, y que se encontrarían apuntando a organizaciones ucranianas y organizaciones no gubernamentales (ONG) europeas.

Contexto, UAC-0098 es un grupo de amenazas dedicado a ofrecer vectores de acceso inicial. Son muy conocidos por utilizar el troyano bancario, IcedID, para proporcionar a los grupos de ransomware acceso a los sistemas comprometidos dentro de las redes empresariales. En simples palabras, facilitan el trabajo de los afiliados de los ransomware en obtener el acceso a una red corporativa, sin tener que llegar a realizar un ataque como tal.

El Grupo de Análisis de Amenazas (TAG) de la gran G, comenzó a rastrear este grupo de amenazas en el mes de abril, después de detectar una campaña de phishing que empujó la puerta trasera de AnchorMail, vinculada a Conti.

«En el encuentro inicial con UAC-0098, se observó por primera vez ‘»lackeyBuilder«. Este es un constructor previamente no revelado para AnchorMail, una de las puertas traseras privadas utilizadas por el grupo Conti«, dijo Google TAG.

«Y desde entonces, el actor de amenazas utilizó constantemente estas herramientas y servicios tradicionalmente empleados por los actores del cibercrimen con el fin de adquirir un acceso inicial: el troyano IcedID, el creador de documentos maliciosos EtterSilent y el servicio de distribución de malware de ingeniería social, Stolen Image Evidence«.

Los ataques de este grupo se observaron entre mediados de abril y mediados de junio del presente año, con cambios frecuentes en sus tácticas, técnicas y procedimientos (TTP), herramientas y señuelos, mientras apuntaban a organizaciones ucranianas (como cadenas hoteleras) y se hacían pasar por la Policía Cibernética Nacional de Ucrania, o representantes de Elon Musk y StarLink.

En campañas posteriores, UAC-0098 fue pillado entregando payloads maliciosos de IcedID y Cobalt Strike en ataques de phishing dirigidos a organizaciones ucranianas y ONG europeas.

Imagen: Google TAG

Según Google TAG, su atribución se basa en múltiples superposiciones entre UAC-0098, Trickbot y el grupo de cibercrimen, Conti.

«Sobre la base de múltiples indicadores, TAG evalúa que algunos miembros de UAC-0098 son ex miembros del grupo de Conti, que reutilizan sus técnicas para apuntar a Ucrania«, agregó Google TAG.

«TAG evalúa que UAC-0098 actuó como un ‘corredor‘ de accesos iniciales para varios grupos de ransomware, incluidos Quantum y Conti, una banda de origen rusa conocidas como FIN12/WIZARD SPIDER

«Las actividades de UAC-0098 son ejemplos representativos de las líneas borrosas entre grupos financieramente motivados y respaldados por el gobierno en Europa del Este, lo que ilustra una tendencia de que los actores de amenazas que cambian su orientación para alinearse con los intereses geopolíticos regionales del mejor postor«.

Las actividades del grupo de amenazas detectadas y reveladas el día de ayer por Google, también se alinean con informes anteriores de IBM Security X-Force y CERT-UA, que también vincularon los ataques contra organizaciones ucranianas y entidades gubernamentales con las bandas de TrickBot y Conti.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required