Campañas de spear phishing dirigidas a grupos rusos y bielorrusos
Según informes recientes, varias organizaciones rusas y bielorrusas han sido objeto de campañas de spear-phishing. Estas organizaciones pertenecen a sectores sin ánimo de lucro, medios de comunicación y gobiernos internacionales. Los actores de la amenaza que orquestaron estas campañas de spear-phishing parecen tener intereses afines al gobierno ruso. En este artículo, nos sumergiremos en estos ciberataques rusos y desvelaremos los detalles. Comencemos.
Campañas de Spear-Phishing: Actores y objetivos de las amenazas
Según la información disponible, una de las dos campañas ha sido atribuida a COLDRIVER. El actor de la amenaza COLDRIVER es un adversario en línea conocido por sus vínculos con el Servicio Federal de Seguridad de Rusia (FBS). Se supone que el grupo de amenazas COLDWASTREL es responsable de la segunda serie de ataques.
Aparte de la organización mencionada, otros objetivos de las campañas de spear-phishing incluyen figuras en el exilio que se oponen a Rusia, grupos de reflexión y funcionarios del espacio político de Estados Unidos (EE.UU.) y el ex embajador de EE.UU. en Ucrania. Access Now, una organización de derechos civiles digitales sin ánimo de lucro, ha declarado lo siguiente al dar detalles sobre los ataques y los objetivos:
"Ambos tipos de ataques estaban muy adaptados para engañar mejor a los miembros de las organizaciones objetivo. El patrón de ataque más común que observamos fue un correo electrónico enviado desde una cuenta comprometida o desde una cuenta que parecía similar a la cuenta real de alguien que la víctima podría haber conocido."
Ciberataques rusos: Herramientas y técnicas
En cuanto a las tácticas de ataque, estas campañas de spear-phishing se basan en el uso de métodos de ingeniería social. Para atacar a las víctimas, se incrusta un archivo PDF con un enlace malicioso. Los archivos PDF se distribuyen mediante correos electrónicos enviados desde cuentas de Proton Mail que se hacen pasar por organizaciones o personas con las que la víctima está familiarizada.
Cuando una víctima hace clic en el enlace, es redirigida a una página de recogida de credenciales. The Citizen Lab ha proporcionado detalles sobre estas campañas de spear-phishing:
"A menudo observamos que el atacante omitía adjuntar un archivo PDF al mensaje inicial que solicitaba una revisión del archivo 'adjunto'. Creemos que esto era intencionado y pretendía aumentar la credibilidad de la comunicación, reducir el riesgo de detección y seleccionar solo a los objetivos que respondían al planteamiento inicial (por ejemplo, señalando la falta de un archivo adjunto)."
Proton Mail y Proton Drive han sido utilizados previamente para ciberataques por estos dos actores de amenazas, y tales tácticas se registraron por primera vez en marzo de 2023. A pesar de las similitudes entre los dos actores de amenazas, COLDWASTREL se desvía de COLDRIVER cuando se trata de dominios similares utilizados con fines maliciosos.
Cabe mencionar aquí que las campañas de spear-phishing son una técnica eficaz para los actores de amenazas, ya que les permiten mantener amenazas globales mientras mantienen tácticas de ataque más sofisticadas protegidas de ser descubiertas. Los expertos en ciberseguridad deben comprender estas tácticas para desarrollar una estrategia de protección eficaz.
Conclusión
Estas campañas de spear-phishing, atribuidas a COLDRIVER y COLDWASTREL, demuestran la evolución de las tácticas de los actores de ciberamenazas alineados con los intereses rusos. Al explotar la ingeniería social y la recolección de credenciales, representan una amenaza significativa para las organizaciones y los individuos que se oponen a las políticas rusas. A la luz de estos ataques, es esencial garantizar el uso de protocolos de seguridad proactivos, ya que pueden ayudar a reducir el riesgo de exposición.
Las fuentes de esta pieza incluyen artículos en The Hacker News y Forbes.