Los investigadores de seguridad dicen que recientemente observaron a un equipo de piratas informáticos ruso que estaba detrás de los destructivos ataques cibernéticos de malware WhisperGate, dirigidos a entidades ucranianas con un nuevo malware que roba información.
El Threat Hunter Team de Symantec ha atribuido esta campaña a un actor de amenazas cibernéticas vinculado a Rusia, ampliamente conocido como TA471 (o UAC-0056), que ha estado activo desde principios de 2021. Se sabe que el grupo apoya los intereses del gobierno ruso y, aunque principalmente apunta a Ucrania, el grupo también ha estado activo contra los estados miembros de la OTAN en América del Norte y Europa. TA471 se ha vinculado a WhisperGate, un malware destructivo de borrado de datos que se usó en múltiples ataques cibernéticos contra objetivos ucranianos en enero de 2022. El malware se hace pasar por ransomware, pero hace que los dispositivos objetivo queden completamente inoperables e incapaces de recuperar archivos, incluso si se paga una demanda de rescate. .
Según Symantec, la última campaña del equipo de piratas informáticos se basa en un malware de robo de información nunca antes visto al que llama «Graphiron» para apuntar a organizaciones ucranianas. El malware se usó para robar datos de máquinas infectadas desde octubre de 2022 hasta al menos mediados de enero de 2023, según los investigadores, lo que es razonable suponer que sigue siendo parte del [hackers’] caja de herramientas.”
El malware de robo de información utiliza nombres de archivo diseñados para hacerse pasar por archivos legítimos de Microsoft Office y es similar a otras herramientas TA471, como GraphSteel y GrimPlant, que se utilizaron anteriormente como parte de una campaña de phishing dirigido específicamente a organismos estatales ucranianos. Pero Symantec dice que Graphiron está diseñado para filtrar muchos más datos, incluidas capturas de pantalla y claves SSH privadas.
“Esa información podría ser útil en sí misma desde una perspectiva de inteligencia, o podría usarse para penetrar más profundamente en la organización objetivo o para lanzar ataques destructivos”, dijo a TechCrunch Dick O’Brien, analista principal de inteligencia de Symantec Threat Hunter Team.
O’Brien dijo que si bien se sabe poco sobre el origen o la estrategia del equipo de piratería, TA471 se ha convertido en uno de los actores clave en las campañas cibernéticas en curso de Rusia contra Ucrania.
La noticia de la última campaña de espionaje de TA471 llega días después de que el gobierno ucraniano hiciera sonar la alarma sobre otro grupo de piratería patrocinado por el estado ruso, denominado UAC-0010, que continúa realizando frecuentes campañas de ciberataques contra organizaciones ucranianas.
“A pesar de utilizar principalmente conjuntos repetidos de técnicas y procedimientos, los adversarios evolucionan lenta pero insistentemente en sus tácticas y vuelven a desarrollar variantes de malware usadas para pasar desapercibidos”, dijo el Centro Estatal de Protección Cibernética de Ucrania. “Por lo tanto, sigue siendo una de las amenazas cibernéticas clave que enfrentan las organizaciones en nuestro país”.