Los hackers patrocinados por el estado ahora están utilizando señuelos de coronavirus para infectar a sus objetivos


coronavirus.jpg

Grupos de piratas informáticos respaldados por el gobierno de China, Corea del Norte y Rusia no están dejando que se desperdicie una pandemia mundial y han comenzado a utilizar señuelos de phishing basados ​​en coronavirus como parte de sus esfuerzos para infectar a las víctimas con malware y obtener acceso a su infraestructura.

Durante las últimas semanas, la comunidad de ciberseguridad ha visto a hackers patrocinados por el estado de China, Corea del Norte y Rusia intentar estas tácticas.

El uso del señuelo COVID-19 (coronavirus) no es realmente una sorpresa para aquellos que han seguido la industria de seguridad de la información (infosec) lo suficiente.

Los Cyberspies no han dejado que una tragedia o desastre nacional se desperdicie. Desde el ataque terrorista de París de noviembre de 2015 hasta la opresión de la población uigur en China, los grupos patrocinados por el estado siempre han creado sus señuelos por correo electrónico para lograr los máximos resultados en un momento determinado e, históricamente, los eventos trágicos siempre han presentado lo mejor señuelos

Rusia

El primer grupo de piratería patrocinado por el estado en emplear un señuelo de coronavirus fue el grupo Hades, que se cree que opera fuera de Rusia, y que está vinculado a APT28 (Extravagant Bear), uno de los grupos que también pirateó el DNC en 2016.

Según la firma de ciberseguridad QiAnXin, Los hackers de Hades llevaron a cabo una campaña a mediados de febrero cuando se escondieron un troyano de puerta trasera C # en documentos de cebo que contienen las últimas noticias sobre COVID-19.

Los documentos fueron enviados a objetivos en Ucrania, disfrazados de correos electrónicos provenientes del Centro de Salud Pública del Ministerio de Salud de Ucrania.

Los correos electrónicos dirigidos parecen haber sido parte de una campaña de desinformación más grande que golpeó a todo el país, en diferentes frentes.

Primero, al mismo tiempo que Hades estaba apuntando a sus objetivos, una ola de correos electrónicos no deseados con temática de coronavirus golpeó el país. En segundo lugar, la campaña de correo electrónico fue seguida por una avalancha de mensajes en las redes sociales que afirmaban que la enfermedad COVID-19 había llegado al país.

Según un informe de BuzzFeed Information, uno de estos correos electrónicos se volvió viral y fue respaldado por la ola de alarmismos de las redes sociales. llevado a un pánico basic y disturbios violentos en alguna parte del pais.

BuzzFeed Information informó que en algunas ciudades ucranianas los residentes bloquearon los hospitales por temor a que sus hijos pudieran infectarse por evacuados infectados con coronavirus provenientes de la región oriental de Ucrania devastada por la guerra.

En este pánico basic, algunos correos electrónicos con malware tenían muchas más posibilidades de pasar desapercibidos y alcanzar sus objetivos, la mayoría de los cuales probablemente estaban interesados ​​en los eventos actuales que se desarrollan en el país.

Corea del Norte

El siguiente país en armarse COVID-19 para señuelos de phishing fue Corea del Norte, a fines de febrero, aunque en una campaña que no fue tan sofisticada como la que golpeó a Ucrania.

Según un tweet compartido por la firma de ciberseguridad de Corea del Sur IssueMakersLab, un grupo de hackers norcoreanos también escondió malware dentro de documentos que detallan la respuesta de Corea del Sur a la epidemia de COVID-19.

Los documentos, que se cree que fueron enviados a funcionarios de Corea del Sur, fueron atrapados con BabyShark, una cepa de malware utilizada anteriormente por un grupo de hackers norcoreanos conocido como Kimsuky.

China

Pero la mayoría de las campañas de malware que usan temas de coronavirus provienen de China, todas enviadas en las últimas dos semanas, justo cuando China se retiró de su propia disaster COVID-19.

El primero de los dos sucedió a principios de este mes. Empresa vietnamita de seguridad cibernética VinCSS detectó un grupo de piratería patrocinado por el estado chino (con nombre en código Mustang Panda) que difundía correos electrónicos con un archivo adjunto RAR que pretendía llevar un mensaje sobre el brote de coronavirus del Primer Ministro vietnamita.

El ataque, también confirmado por CrowdStrike, instaló un troyano básico de puerta trasera en las computadoras de los usuarios que descargaron y descomprimieron el archivo.

El segundo ataque fue detallado hoy por la empresa de ciberseguridad Punto de handle. La compañía dijo que había estado rastreando a otro grupo chino llamado Vicious Panda que se había dirigido a organizaciones del gobierno de Mongolia con documentos que afirmaban tener información sobre la prevalencia de nuevas infecciones por coronavirus.


Sin embargo, estos ataques de grupos de ciberespionaje no son los únicos que se alimentan del pánico global de COVID-19.

Las pandillas regulares de delitos cibernéticos también han estado utilizando el mismo señuelo durante el mismo tiempo que los ciberdelincuentes profesionales, según un informe de ZDNet publicado la semana pasada, citando hallazgos de Fortinet, Sophos, Proofpoint y otros.





Enlace a la noticia authentic