Los investigadores de seguridad dicen que recientemente observaron a un equipo de piratería ruso, que estaba detrás de los destructivos ciberataques de malware WhisperGate, dirigidos a entidades ucranianas con nuevo malware para robar información.
El equipo Threat Hunter de Symantec ha asignado esta campaña a un actor de amenazas cibernéticas vinculado a Rusia, ampliamente conocido como TA471 (o UAC-0056), que ha estado activo desde principios de 2021. El grupo está conocido para apoyar los intereses del gobierno ruso y, aunque su objetivo principal es Ucrania, el grupo también ha estado activo contra los estados miembros de la OTAN en América del Norte y Europa. TA471 se ha vinculado a WhisperGate, un malware destructivo de borrado de datos que se usó en varios ataques cibernéticos contra objetivos ucranianos en enero de 2022. El malware se hace pasar por ransomware, pero hace que los dispositivos objetivo queden completamente inoperables e incapaces de recuperar archivos, incluso si se envía una nota de rescate. pagado. .
Según Symantec, la última campaña del equipo de piratería se basa en un malware de robo de información nunca antes visto al que llama «Graphiron» para atacar a las organizaciones ucranianas. El malware se usó para robar datos de máquinas infectadas desde octubre de 2022 hasta al menos mediados de enero de 2023, según los investigadores, es razonable suponer que todavía es parte del [hackers’] caja de herramientas.
El malware que roba información utiliza nombres de archivo diseñados para hacerse pasar por archivos legítimos de Microsoft Office y es similar a otras herramientas TA471, como GraphSteel y GrimPlant, que se utilizaron anteriormente en una campaña de phishing dirigido específicamente a organismos estatales ucranianos. Pero Symantec dice que Graphiron está diseñado para filtrar muchos más datos, incluidas capturas de pantalla y claves SSH privadas.
«Esta información podría ser útil por sí sola desde una perspectiva de inteligencia, o podría usarse para penetrar más profundamente en la organización objetivo o para lanzar ataques destructivos», dijo el analista senior Dick O’Brien a TechCrunch, Intelligence Symantec Threat Hunter Team.
O’Brien dijo que aunque se sabe poco sobre el origen o la estrategia del equipo de piratería, TA471 se ha convertido en uno de los actores clave en las campañas cibernéticas en curso de Rusia contra Ucrania.
La noticia de la última campaña de espionaje de TA471 llega días después de que el gobierno ucraniano sonó la alarma en otro grupo de piratería patrocinado por el estado ruso, denominado UAC-0010, que continúa realizando frecuentes campañas de ataques cibernéticos contra organizaciones ucranianas.
“A pesar de utilizar conjuntos de técnicas y procedimientos en su mayoría repetidos, los adversarios están evolucionando lenta pero insistentemente sus tácticas y rediseñando las variantes de malware que solían pasar desapercibidas”, dijo el Centro Estatal de Protección Cibernética de Ucrania. “Por lo tanto, sigue siendo una de las principales amenazas cibernéticas que enfrentan las organizaciones en nuestro país”.