La guerra cibernética en Ucrania y Rusia domina el panorama de amenazas

  • Endpoint

ciberamenazas

Las operaciones de ciberdelincuencia se debilitaron parcialmente debido a la guerra. Los investigadores observan una ligera disminución continua en el ransomware, un crecimiento en la presencia de Emotet y el descubrimiento de una de las mayores botnets como servicio.

Avast ha publicado su “Informe de amenazas Q1/2022”, que revela cómo las ciberamenazas giran en torno a la guerra física entre Rusia y Ucrania. El informe arroja luz sobre un grupo APT atribuido a Rusia que ataca a los usuarios en Ucrania, las herramientas DDoS que se utilizan contra sitios rusos y los ataques de ransomware dirigidos a empresas en Ucrania.

"A menudo vemos paralelismos entre lo que está sucediendo en el mundo real y el panorama de amenazas. En el primer trimestre de 2022 vimos un aumento significativo en los ataques de tipos particulares de malware en países involucrados en la guerra. En comparación con el trimestre anterior, vimos un aumento de más del 50% en la cantidad de ataques de troyanos de acceso remoto (RAT) y un aumento de más del 20% en los ataques de malware de robo de información", explica Jakub Kroustek, director de Investigación de Malware de Avast. "También bloqueamos un 30% más de intentos de infectar nuevos dispositivos para unirse a botnets en Rusia, y un aumento del 15% en Ucrania, con el objetivo de construir ejércitos de dispositivos que puedan llevar a cabo ataques DDoS en medios y otras infraestructuras críticas. Por otro lado, bloqueamos un 50% menos de ataques de adware en Rusia y Ucrania, lo que podría deberse a que menos personas se conectan, especialmente en Ucrania".

La guerra de Ucrania afecta a la ciberdelincuencia

Justo antes de que comenzara la guerra en Ucrania, Avast Threat Labs rastreó varios ataques que se cree que fueron llevados a cabo por grupos de APT rusos. Gamaredon, un grupo de APT conocido y activo, aumentó la actividad rápidamente a finales de febrero, extendiendo su malware a un amplio grupo de objetivos, en busca de víctimas de interés para llevar a cabo espionaje. El ransomware HermeticRansom, fue propagado, presumiblemente también, por un grupo APT.

Los investigadores de Avast rastrearon herramientas promovidas por comunidades hacktivistas para llevar a cabo ataques DDoS en sitios web rusos. Una botnet vendida como servicio se utilizó para una campaña DDoS en marzo en relación con el grupo de ransomware Sodinokibi (REvil). Además, los autores de malware han utilizado la guerra para propagar malware, como troyanos de acceso remoto (RAT) mediante la difusión de correos electrónicos con archivos adjuntos maliciosos que afirman contener información importante sobre la guerra.

Los autores y operadores de malware se han visto directamente afectados por la guerra. Avast ha observado una ligera disminución del 7% en los ataques de ransomware en todo el mundo en el primer trimestre de 2022, en comparación con el cuarto trimestre de 2021, que se cree fue causada por la guerra en Ucrania, desde donde operan muchos operadores y afiliados de ransomware. Con esto, los ataques de ransomware han disminuido por segundo trimestre consecutivo. Otras causas de la disminución podrían que ser uno de los grupos de ransomware más activos y exitosos, Maze, cerró sus operaciones en febrero, y la tendencia continua de las bandas de ransomware que se centran más en ataques dirigidos a objetivos grandes.

Otras amenazas en ascenso

Además, el informe revela que Emotet duplicó su cuota de mercado desde el último trimestre. En particular, Avast observó un aumento significativo en los intentos de infección de botnets de Emotet en marzo. Además, se encontró un sistema de dirección de tráfico (TDS), llamado Parrot TDS, que propagaba campañas maliciosas a través de más de 16.000 sitios infectados. El informe también incluye un resumen de cómo los investigadores de Avast reunieron pistas para descubrir cómo Meris, una de las redes de botnets como servicio más grandes, compuesta principalmente por más de 230.000 dispositivos MikroTik vulnerables, facilitó múltiples ataques a gran escala en los últimos años.

En el lado móvil, los atacantes están cambiando de tácticas cuando se trata de difundir adware y suscripciones de SMS premium, que siguen siendo frecuentes. Si bien Google Play Store se ha utilizado anteriormente para distribuir estas amenazas, ahora están utilizando ventanas emergentes del navegador y notificaciones para difundir aplicaciones maliciosas entre los consumidores.