Es evidente que las empresas ucranianas no se han librado de los ataques de phishing, y los atacantes tienen como objetivo las infraestructuras de comunicación locales, los proveedores de redes y otros servicios.
Observamos un mayor número de ataques de phishing en el ciberespacio ucraniano en febrero, justo antes de que Rusia invadiera Ucrania el 24 de febrero de 2022. Los ataques que observamos se dirigieron a un productor de hardware de infraestructura de red, un administrador de dominio, así como a servicios e instituciones en diferentes áreas como envíos, alojamiento web, plataformas para reclutadores y comercializadores. Las herramientas de acceso remoto (RAT) y el malware de robo de contraseñas, como AgentTesla o FormBook , se incluyeron como archivos adjuntos en los correos electrónicos de phishing que se propagaban con líneas de asunto relacionadas con facturas y pagos. Creemos que estos ataques podrían haber sido diseñados para atacar la infraestructura de Internet del país y podrían estar relacionados o servir para complementar los ataques DDoS que se llevaron a cabo contra el Departamento de Defensa y Bancos de Ucrania justo antes de que Rusia invadiera el país.
Determinamos el valor promedio de la cantidad de ataques de phishing (umbral) por día antes de que comenzara la guerra en Ucrania. Notamos dos picos significativos el 16 de febrero y del 21 al 23 de febrero. El valor umbral se superó en un 272% a un 494%, como se ve en la Figura 1 , respectivamente.
Figura 1 . Ataques de phishing en Ucrania
Las ciudades más atacadas por los ataques fueron Kyiv (36%), Odessa (29%), Lviv (6%), Mariupol (5%); ver Figura 2 .
Figura 2. Distribución de los ataques de phishing en Ucrania
Las líneas de asunto de los correos electrónicos de phishing se dirigen principalmente a los departamentos de contabilidad e incluyen:
- Pago SWIFT
- Pago de factura: MT103_Swift Copy
- Transferencia bancaria a la cuenta de su empresa
- Asunto: orden de compra
- Re: Confirmación de transferencia
Los archivos adjuntos de correo electrónico contienen una combinación diversa de herramientas de acceso remoto (RAT) y malware de robo de contraseñas, como AgentTesla o FormBook .
Primera ola de ataques digitales
Supervisamos el primer pico significativo el 16 de febrero. El mayor ataque que pudimos identificar se dirigió a un administrador de dominio ucraniano, ukrnames.com. También brindan registro de nombres de dominio, alojamiento de sitios web, registro de certificados SSL y más.
La segunda ola de ataques que identificamos se dirigió a un proveedor de hardware ubicado en Lviv, que proporcionaba equipos para infraestructuras de red (lanbox.com.ua).
Según nuestros datos, el sitio solo fue atacado el 16 de febrero. La gran mayoría de los ataques de ukrnames.com también ocurrieron el 16 de febrero; solo se monitorearon algunos incidentes el 17, 18 y 21 de febrero. Tanto los ataques a ukrnames.com como a Lanbox parecen haber sido dirigidos. La siguiente tabla muestra la relación porcentual de los ataques dirigidos:
Una segunda ola
La segunda ola de estos ataques digitales ocurrió del 21 al 23 de febrero. Esta ola consistió en una gama más amplia de ataques a servicios e instituciones en diferentes áreas como envío, alojamiento web, plataformas para reclutadores y vendedores. No identificamos ningún ataque significativo contra un objetivo específico en esta ola.
Adjuntos de correo electrónico
Las líneas de asunto de los correos electrónicos de phishing y el malware incluido en los archivos adjuntos nos han ayudado a identificar varios archivos adjuntos específicos utilizados en los ataques de phishing basados en nuestro sistema trampa de correo.
El contenido de los correos electrónicos se disfraza como comunicaciones comerciales estándar o correos electrónicos informativos; ver ejemplo en la Figura 3 . El siguiente ejemplo se capturó con nuestro sistema trampa de correo en 2020. La línea de asunto del correo (incluido el número de RFQ) y la persona (Sr. Moizuddin) es idéntica a un correo electrónico sospechoso detectado en la primera ola de ataque a ukrnames.com. Los remitentes de ambos correos son diferentes, pero es típico de los ataques de phishing, ya que los encabezados de los correos son falsificados.
Figura 3. Correo electrónico disfrazado de compra de un nuevo pedido
El tipo más común de archivos adjuntos sospechosos han sido los archivos .pdf y .docx. Estos documentos de Microsoft Word generalmente contienen una imagen que parece una ventana emergente con un mensaje que solicita a los usuarios que habiliten el contenido de los documentos, lo que provoca una serie de cargas maliciosas, como se puede ver en las imágenes a continuación, Figura 4 .
Figura 4. Mensajes que requieren "habilitar contenido"
Los correos electrónicos .docx solo contienen una imagen con un mensaje y un código macro malicioso oculto. Supongamos que el usuario hace clic en "Habilitar edición". En ese caso, como muestra la Figura 5 , se inicia la carga dañina y, por lo general, comienza a descargar malware que puede tomar el control de la computadora de la víctima.
Figura 5. Documento de Word que requiere "Habilitar edición"
El segundo tipo de archivo es un .pdf que contiene una imagen que promete un descuento en combustible si el usuario hace clic en la imagen. En realidad, el usuario es redirigido a un sitio web sospechoso con contenido malicioso; ver ejemplos de vales en la Figura 6 .
Figura 6. Vales Lukoil
Servidor SMTP
No podemos determinar el origen exacto de los ataques de phishing dentro del período de interés (del 14 al 22 de febrero), pero hemos analizado datos de un SMTP Honeypot que puede determinar aproximadamente el origen de un spammer.
Los datos del honeypot a largo plazo indican el origen de los spammers de la siguiente manera: Vietnam (35 %), Rusia (18 %), India (10 %), Brasil (8 %) y China (8 %). Sin embargo, SMTP Honeypot ha detectado un aumento significativo en Rusia (35 %) y Brasil (31 %), como lo demuestra la Figura 7 .
Figura 7. Distribución del origen de los spammers del 14 al 22 de febrero
Conclusión
Es evidente que las empresas ucranianas no se han librado de los ataques de phishing, y los atacantes tienen como objetivo las infraestructuras de comunicación locales, los proveedores de redes y otros servicios. El ataque más significativo se realizó el 16 de febrero a uno de los administradores de dominio de Ucrania, ukrnames.com .
Para protegerse, recomendamos a los usuarios que no abran ni habiliten contenidos de archivos adjuntos desconocidos y sospechosos. Los datos de telemetría recientes sugieren que los ataques de phishing contra los ucranianos se han ralentizado, lo que probablemente se deba a los combates en curso y a que las personas pasan menos tiempo en línea. Con esto en mente, continuaremos monitoreando las actividades de phishing en la región.