Desde que comenzó la invasión rusa de Ucrania, Rusia ha estado utilizando todo tipo de tácticas, incluida la guerra cibernética, para inclinar la balanza a su favor. Ahora, según los investigadores de seguridad del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), los piratas informáticos patrocinados por el estado ruso del grupo APT28 son objetivo de empleados del gobierno ucraniano con malware disfrazado de actualizaciones de Windows para robar información vital.
Estos ataques involucran a piratas informáticos rusos que envían correos electrónicos maliciosos que contienen instrucciones sobre cómo actualizar Windows como defensa contra ataques cibernéticos. Sin embargo, en lugar de proporcionar instrucciones legítimas, el correo electrónico contiene un comando de PowerShell que descarga un script de PowerShell. Luego, este script simula una actualización falsa de Windows mientras descarga una segunda carga útil en segundo plano, que es una herramienta que recopila y envía datos a una API de servicio de Mocky a través de una solicitud HTTP. Además, para que estos correos electrónicos maliciosos parezcan más creíbles, los atacantes también crearon direcciones de correo electrónico @outlook.com falsas utilizando los nombres reales de los administradores del sistema.
En un esfuerzo por evitar que los empleados sean víctimas de este ataque, CERT-UA ha aconsejado a todos los administradores de sistemas que restrinjan la capacidad de iniciar PowerShell en computadoras críticas y monitorear el tráfico de red para conexiones a la API del servicio Mocky.
No es el único ciberataque en Ucrania
La guerra entre Rusia y Ucrania dura ya más de un año , y esta no es la primera vez que el grupo APT28, patrocinado por el estado, se vincula con ataques cibernéticos en Ucrania. De hecho, el Grupo de análisis de amenazas de Google informó recientemente que más del 60 % del total de ataques cibernéticos y correos electrónicos de phishing dirigidos a Ucrania se originaron en Rusia, con APT28 detrás de una parte significativa de ellos.
A medida que la guerra continúa prolongándose y Ucrania logra mantenerse firme, es probable que Rusia lance nuevas formas de ataques para debilitar las defensas de Ucrania. Por lo tanto, las empresas y entidades gubernamentales deben capacitar a sus empleados para identificar y reportar correos electrónicos sospechosos y mantener todo el software actualizado.