Como menciona Tesorion en su artículo llamado Rusia/Ucrania conflicto cyberaspects, existen diversas fuentes de inteligencia abiertas (OSINT) e información que ha sido publicada en días pasados en donde se analiza el comportamiento de un actor de Amenazas denominado SANDWORM APT.
Se presume que SANDWORM APT es el actor de amenazas que ha estado detrás de los ciber ataques observados desde enero en sistemas ucranianos como WhisperGate Wiper Trojans y de Cyclops Blink malware.
Cabe recordar que este grupo fue también responsable de varios ciber ataques de malware a gran escala en Ucrania como NotPetya, el cual causó un gran número de afectaciones en el noreste de Europa. De igual forma, es importante anotar que estos ciber ataques también provocaron daños colaterales al esparcirse a otros países de manera no intencional, incluso México fue parte de esos países con daños colaterales en el año 2017 por este tipo de ataques.
Familias de malware y Actores de Amenazas relacionadas al conflicto actual
Familias de malware
BlackEnergy (Sandworm Tool 2015)
Industroyer (Sandworm Tool 2016)
NotPetya (Sandworm Tool 2017)
WhisperGate (Wiper)
HermeticWiper / Killdisk.NCV (Wiper)
Cyclops Blink (Sandworm Tool)
VPNFilter (Replaced by Cyclops Blink)
Katana (DDoS Botnet
Actores de Amenazas
Sandworm APT
Los siguientes indicadores de compromiso fueron publicados y originados por diversos CERTS y compañías de Ciberseguridad y se ponen a disposición con la finalidad de detectar y bloquear tráfico sospechoso asociado a este actor de amenazas.
Hashes de Malware
1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591 (unknown,wiper)
912342F1C840A42F6B74132F8A7C4FFE7D40FB77 (HermeticWiper/Killdisk.NCV)
61B25D11392172E587D8DA3045812A66C3385451 (HermeticWiper/Killdisk.NCV)
3F4A16B29F2F0532B7CE3E7656799125 (HermeticWiper/Killdisk.NCV)
5d5c99a08a7d927346ca2dafa7973fc1 (WhisperGate)
a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 (WhisperGate)
dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 (WhisperGate)
ff17ccd8c96059461710711fcc8372cfea5f0f9eb566ceb6ab709ea871190dc6 (CyclopsBlink)
4e69bbb61329ace36fbe62f9fb6ca49c37e2e5a5293545c44d155641934e39d1 (CyclopsBlink)
50df5734dd0c6c5983c21278f119527f9fdf6ef1d7e808a29754ebc5253e9a86 (CyclopsBlink)
c082a9117294fa4880d75a2625cf80f63c8bb159b54a7151553969541ac35862 (CyclopsBlink)
82c426d9b8843f279ab9d5d2613ae874d0c359c483658d01e92cc5ac68f6ebcf (KatanaDDoSBotnet)
978672b911f0b1e529c9cf0bca824d3d3908606d0545a5ebbeb6c4726489a2ed (KatanaDDoSBotnet)
Direcciones IP
Indicadores de Compromiso para Katana Botnet:
5.182.211[.]5 on the port 60195 / http://5.182.211[.]5/rip.sh Cyclops Blink Indicators of compromise
100.43.220[.]234
96.80.68[.]193
188.152.254[.]170
208.81.37[.]50
70.62.153[.]174
2.230.110[.]137
90.63.245[.]175
212.103.208[.]182
50.255.126[.]65
78.134.89[.]167
81.4.177[.]118
24.199.247[.]222
37.99.163[.]162
37.71.147[.]186
105.159.248[.]137
80.155.38[.]210
217.57.80[.]18
151.0.169[.]250
212.202.147[.]10
212.234.179[.]113
185.82.169[.]99
93.51.177[.]66
80.15.113[.]188
80.153.75[.]103
109.192.30[.]125
En Cyberpeace creemos que este tipo de amenazas se observarán con más frecuencia conforme el conflicto vaya evolucionando en el tiempo, por lo que nuestro Centro de Operaciones en Seguridad se mantiene alerta y monitoreando el tráfico de nuestros clientes y las diversas fuentes de información en el ciber espacio para poder actuar preventivamente ante cualquier amenaza que pudiera esparcirse hacia el continente americano producto del conflicto actual entre Rusia y Ucrania.
Comments