SANDWORM: Actor de amenazas detrás de los ataques a Ucrania

Como menciona Tesorion en su artículo llamado Rusia/Ucrania conflicto cyberaspects, existen diversas fuentes de inteligencia abiertas (OSINT) e información que ha sido publicada en días pasados en donde se analiza el comportamiento de un actor de Amenazas denominado SANDWORM APT.


Malware

Se presume que SANDWORM APT es el actor de amenazas que ha estado detrás de los ciber ataques observados desde enero en sistemas ucranianos como WhisperGate Wiper Trojans y de Cyclops Blink malware.


Cabe recordar que este grupo fue también responsable de varios ciber ataques de malware a gran escala en Ucrania como NotPetya, el cual causó un gran número de afectaciones en el noreste de Europa. De igual forma, es importante anotar que estos ciber ataques también provocaron daños colaterales al esparcirse a otros países de manera no intencional, incluso México fue parte de esos países con daños colaterales en el año 2017 por este tipo de ataques.


Familias de malware y Actores de Amenazas relacionadas al conflicto actual


Familias de malware

  • BlackEnergy (Sandworm Tool 2015)

  • Industroyer (Sandworm Tool 2016)

  • NotPetya (Sandworm Tool 2017)

  • WhisperGate (Wiper)

  • HermeticWiper / Killdisk.NCV (Wiper)

  • Cyclops Blink (Sandworm Tool)

  • VPNFilter (Replaced by Cyclops Blink)

  • Katana (DDoS Botnet


Actores de Amenazas

  • Sandworm APT


Los siguientes indicadores de compromiso fueron publicados y originados por diversos CERTS y compañías de Ciberseguridad y se ponen a disposición con la finalidad de detectar y bloquear tráfico sospechoso asociado a este actor de amenazas.


Hashes de Malware


  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591 (unknown,wiper)

  • 912342F1C840A42F6B74132F8A7C4FFE7D40FB77 (HermeticWiper/Killdisk.NCV)

  • 61B25D11392172E587D8DA3045812A66C3385451 (HermeticWiper/Killdisk.NCV)

  • 3F4A16B29F2F0532B7CE3E7656799125 (HermeticWiper/Killdisk.NCV)

  • 5d5c99a08a7d927346ca2dafa7973fc1 (WhisperGate)

  • a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 (WhisperGate)

  • dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 (WhisperGate)

  • ff17ccd8c96059461710711fcc8372cfea5f0f9eb566ceb6ab709ea871190dc6 (CyclopsBlink)

  • 4e69bbb61329ace36fbe62f9fb6ca49c37e2e5a5293545c44d155641934e39d1 (CyclopsBlink)

  • 50df5734dd0c6c5983c21278f119527f9fdf6ef1d7e808a29754ebc5253e9a86 (CyclopsBlink)

  • c082a9117294fa4880d75a2625cf80f63c8bb159b54a7151553969541ac35862 (CyclopsBlink)

  • 82c426d9b8843f279ab9d5d2613ae874d0c359c483658d01e92cc5ac68f6ebcf (KatanaDDoSBotnet)

  • 978672b911f0b1e529c9cf0bca824d3d3908606d0545a5ebbeb6c4726489a2ed (KatanaDDoSBotnet)


Direcciones IP


Indicadores de Compromiso para Katana Botnet:


  • 5.182.211[.]5 on the port 60195 / http://5.182.211[.]5/rip.sh Cyclops Blink Indicators of compromise

  • 100.43.220[.]234

  • 96.80.68[.]193

  • 188.152.254[.]170

  • 208.81.37[.]50

  • 70.62.153[.]174

  • 2.230.110[.]137

  • 90.63.245[.]175

  • 212.103.208[.]182

  • 50.255.126[.]65

  • 78.134.89[.]167

  • 81.4.177[.]118

  • 24.199.247[.]222

  • 37.99.163[.]162

  • 37.71.147[.]186

  • 105.159.248[.]137

  • 80.155.38[.]210

  • 217.57.80[.]18

  • 151.0.169[.]250

  • 212.202.147[.]10

  • 212.234.179[.]113

  • 185.82.169[.]99

  • 93.51.177[.]66

  • 80.15.113[.]188

  • 80.153.75[.]103

  • 109.192.30[.]125


En Cyberpeace creemos que este tipo de amenazas se observarán con más frecuencia conforme el conflicto vaya evolucionando en el tiempo, por lo que nuestro Centro de Operaciones en Seguridad se mantiene alerta y monitoreando el tráfico de nuestros clientes y las diversas fuentes de información en el ciber espacio para poder actuar preventivamente ante cualquier amenaza que pudiera esparcirse hacia el continente americano producto del conflicto actual entre Rusia y Ucrania.




#Rusia #Ucrania #Ciberataques #Cyberguerra #Malware #Sandworn #OSINT #HackersRusos

22 visualizaciones0 comentarios