EE.UU. ofrece recompensa de 10 millones de dólares por cibermilitantes rusos

Iniciado por AXCESS, Septiembre 07, 2024, 07:21:06 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor cibernético menos conocido asociado con la inteligencia militar rusa (GRU) es responsable de intentos de golpe de Estado, sabotajes, operaciones de influencia e incluso intentos de asesinato en Europa, advierte el FBI.

Los cibermilitantes parecen ser "oficiales subalternos en servicio activo del GRU" que están adquiriendo experiencia cibernética y mejorando sus habilidades técnicas mediante la realización de operaciones cibernéticas e intrusiones bajo la dirección de un liderazgo experimentado.

El actor de amenazas se denomina Unidad 29155 y también se lo conoce como Cadet Blizzard, Ember Bear o Frozenvista. Está afiliado al 161.º Centro de Entrenamiento de Especialistas (Unidad 29155) de la Dirección General de Inteligencia Principal (GRU) del Estado Mayor ruso. Trabajan por separado de otros grupos cibernéticos del GRU conocidos y más establecidos.

Estos actores cibernéticos "subalternos" dependen de la ayuda de otros ciberdelincuentes y facilitadores conocidos que no pertenecen al GRU para llevar a cabo sus operaciones, según evalúa el asesoramiento conjunto de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA).

La Unidad 29155 ha estado activa desde al menos 2020 y es responsable de múltiples operaciones de redes informáticas contra objetivos globales. Sus actividades suelen estar dirigidas al espionaje, el sabotaje y el daño a la reputación. Sus objetivos son infraestructuras críticas y sectores de recursos clave, como el gobierno, los servicios financieros, el transporte, la energía y la atención médica.

Algunas de las acciones de la unidad incluyen la implementación del malware destructivo WhisperGate contra múltiples organizaciones ucranianas víctimas desde el 13 de enero de 2022. También ha llevado a cabo múltiples desfiguraciones de sitios web, escaneo de infraestructura, exfiltración de datos y operaciones de fuga de datos.

"Hasta la fecha, el FBI ha observado más de 14.000 casos de escaneo de dominios en al menos 26 miembros de la OTAN y varios países adicionales de la Unión Europea (UE)", se lee en el aviso.

La banda tenía como objetivo a miembros de la Organización del Tratado del Atlántico Norte (OTAN) en Europa y América del Norte, así como otros países.

El Departamento de Justicia de EE. UU. nombró a cinco oficiales de la Unidad 29155 y anunció una recompensa de hasta $ 10 millones por cualquier información que conduzca a su identificación o ubicación. El gran jurado de Maryland acusó a los piratas informáticos, todos ellos ciudadanos y residentes rusos, de conspiración para cometer intrusión informática y fraude electrónico.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para la actividad maliciosa, la Unidad 29155 utilizó múltiples herramientas disponibles públicamente, como Acunetix y Nmap para el escaneo de puertos, servicios y vulnerabilidades, Amass y VirusTotal para obtener subdominios para sitios web de destino, Shodan para identificar hosts con vulnerabilidades específicas o tipos de dispositivos, junto con Netcat, WPScan y otros escáneres.

Después del reconocimiento inicial, el actor de amenazas descubrió vulnerabilidades conocidas dentro de los servidores y máquinas de las víctimas. En un caso, obtuvieron acceso inicial utilizando cámaras IP Dahua para eludir la autenticación de identidad.

"Obtubieron scripts de explotación CVE de repositorios de GitHub y los utilizaron contra la infraestructura de la víctima", dijo el FBI.

"En lugar de crear soluciones personalizadas, los actores cibernéticos de la Unidad 29155 utilizan técnicas comunes de trabajo en equipo y herramientas disponibles públicamente para realizar operaciones cibernéticas".

La superposición de tácticas puede dar lugar a una atribución errónea. Para anonimizar sus operaciones, los actores de Unit 29155 han utilizado VPN (redes privadas virtuales) y, para alojar herramientas operativas o exfiltrar datos, han recurrido a servidores privados virtuales (VPS).

El malware WhisperGate desplegado contra Ucrania es capaz de corromper el registro de arranque maestro de un sistema, mostrar una nota de ransomware falsa y cifrar archivos en función de determinadas extensiones de archivo. Unit 29155 utilizó Discord para almacenar archivos y controlar el malware. Si bien el objetivo principal del malware es interrumpir y dañar los sistemas informáticos específicos, WhisperGate también puede escanear redes, robar contraseñas y exfiltrar datos.

Las agencias estadounidenses aconsejan a los defensores de la red que prioricen las actualizaciones del sistema y apliquen parches a las vulnerabilidades conocidas, especialmente las que figuran en el catálogo de vulnerabilidades explotadas conocidas de CISA. Limitar los activos que dan a Internet, implementar la segmentación de la red y el escaneo regular de vulnerabilidades son algunas de las medidas propuestas para defenderse de este adversario.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta