Ataques de Anonymous Sudan: amenazas cibernéticas y ataques DDoS en aumento
La semana pasada, Anonymous Sudan, identificado por Flashpoint y otros como un actor de amenaza afiliado a Rusia que suplanta a un grupo hacktivista islámico, atacó a otra institución financiera occidental. Esta vez, lo hizo presuntamente en conjunción con el grupo de hackers de denegación de servicio pro-Rusia Killnet y posiblemente con REvil, un grupo de ransomware-as-a-service con base en Rusia. El ataque del 19 de junio contra el Banco Europeo de Inversiones podría haber sido un intento de frustrar los flujos financieros que apoyan el esfuerzo de guerra de Ucrania, aunque los motivos de los grupos de amenazas aún están sujetos a especulación, según los expertos.
El último ataque de denegación de servicio distribuido en 2023 perpetrado por estos grupos de amenazas, así como el grupo de ransomware de extorsión de habla rusa Clop, sigue a los ataques contra Microsoft, el Departamento de Energía de EE. UU. y muchas más organizaciones en una creciente lista de objetivos que constituyen un abanico cada vez más amplio de sectores específicos. Aquellos que han rastreado a estos tres actores de amenazas y a nuevos grupos de proveedores de botnets informaron que los ataques contra el BEI y su subsidiaria, el Fondo Europeo de Inversiones, tenían como objetivo afectar al sistema de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales, del cual se excluyó a las instituciones rusas en 2022.
También se informó en un blog de Flashpoint que Clop publicó la semana pasada en su sitio de filtración de datos una lista de 64 organizaciones, incluidas entidades gubernamentales de EE. UU., que el grupo atacó aprovechando una vulnerabilidad crítica en el software de transferencia de archivos gestionado MOVEit. La vulnerabilidad permite que los actores de amenazas obtengan acceso a la base de datos de MOVEit Transfer sin autenticación, momento en el cual pueden alterar o eliminar entradas en la base de datos utilizando maniobras SQL.
En un período de 24 horas en marzo, se informa que el grupo Clop atacó a Shell Global, Bombardier Aviation, la Universidad de Stanford y otras instituciones de educación superior.
Tim West, jefe de inteligencia de amenazas cibernéticas en WithSecure, dijo que Clop afirmó que los datos del gobierno se eliminarán y no se retendrán ni compartirán. "Esto casi con seguridad es un esfuerzo para no 'molestar al oso' y caer por debajo de una línea que invite a la acción de las autoridades competentes, aunque es poco probable que su palabra por sí sola sea suficiente", dijo.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelAnonymous Sudan busca el protagonismo
Flashpoint observó que Anonymous Sudan, que ha estado activo desde enero de 2023, ha lanzado ataques de DDoS contra organizaciones en Suecia, los Países Bajos, Dinamarca, Australia, Francia, Israel, Alemania, Emiratos Árabes Unidos, EE. UU. e Irán. Los ataques del grupo han apuntado a servicios financieros, aviación, educación, atención médica, software y entidades gubernamentales.
WithSecure, una empresa de seguridad e inteligencia de amenazas con sede en Finlandia, señaló que Anonymous Sudan ha atacado objetivos en ese país, así como hospitales en Dinamarca y aeropuertos, hospitales y escuelas en Francia. En su informe de mayo de 2023, la compañía señaló que el actor de amenazas había atacado a Scandinavian Airlines y exigido un rescate de 3 millones de dólares para interrumpir el ataque, y comenzó a centrarse en el sector del transporte, favoreciendo a varias aerolíneas pequeñas y operadores de trenes.
Parcialmente político, principalmente económico
West dijo que toma con precaución la idea de que Killnet, Anonymous Sudan, REvil y grupos de amenazas similares estén formando colaboraciones sólidas entre ellos o que estén motivados únicamente por lealtad a Rusia.
"Supongo que refutaría el punto de que todos ellos están 'alineados'. Probablemente estaría de acuerdo en que, en realidad, la verdad es matizada. En términos generales, aunque pueden estar alineados con Rusia como colectivo 'hacktivista', todos están motivados financieramente, sin duda", dijo, y agregó que Killnet es una excepción objetiva, ya que ha habido evaluaciones que muestran un nivel de coordinación con las autoridades rusas.
En cualquier caso, afirmó que grupos como estos pueden tener simpatías políticas turbias, pero sus objetivos financieros son claros. El ataque de ransomware de Anonymous Sudan contra Scandinavian Airlines habla de que su motivación está al menos tan impulsada por el dinero como por el amor a su país.
"De manera anecdótica, también están atacando el transporte y los viajes con mayor frecuencia", dijo West, y agregó que los ataques a instituciones financieras europeas en la red SWIFT pueden tener tanto el propósito de generar ruido y atención para ellos mismos como de crear una situación de fuerza mayor para hacer una declaración política.
Cómo proteger tu computadora de los virus: métodos y consejos"SWIFT es el sistema de pago interbancario, y muchos bancos de todo el mundo dependen en gran medida de las vastas cantidades de dinero que SWIFT maneja en todo el mundo, por lo que ha sido un objetivo para los ciberdelincuentes durante mucho tiempo, pero es un objetivo difícil, uno que es muy difícil de derribar. Lo que creo que estamos viendo con Anonymous Sudan son intentos de hacer afirmaciones grandiosas contra nombres relativamente grandes en el ecosistema financiero, generando ruido y publicidad", dijo West.
Reflejando a Mirai: el auge de los botnets
WithSecure dijo que los botnets se están convirtiendo en el vector de ataque preferido por los actores de amenazas, señalando que un grupo escindido de Killnet desplegó variantes de botnets basados en Mirai.
De hecho, un nuevo informe de Akamai señala los ataques de botnet similares a Mirai. Akamai informó que el botnet Mirai, que se hizo conocido por primera vez con un ataque en 2016 a DynDNS, ha dado origen a numerosas imitaciones. El último ejemplo reportado el 13 de junio fue una explotación de una vulnerabilidad crítica de inyección de comandos descubierta en marzo. Con una puntuación de severidad en el Sistema Común de Puntuación de Visibilidad de 9,8 (en una escala de 1 a 10), esta vulnerabilidad tiene un potencial significativo de daño, tanto para el dispositivo infectado como para la red en la que reside.
Akamai dijo que la vulnerabilidad permite que un atacante envíe una solicitud manipulada a los enrutadores inalámbricos afectados, lo que les permite ejecutar comandos en el dispositivo infectado. La empresa de seguridad informó que uno de los comandos inyecta y ejecuta Mirai, y "desde entonces, ha habido numerosas variantes y botnets influenciados por el botnet Mirai, y aún está causando un impacto".
West comentó: "Esto muestra que incluso las grandes organizaciones gubernamentales también son organizaciones empresariales y necesitan emplear servicios de terceros para ciertas tareas. Es probable que tengan revisiones de terceros/proveedores, pero las vulnerabilidades de código de día cero son lo desconocido desconocido y, por definición, no se pueden remediar directamente".
Con la creciente amenaza, la formación es cada vez más necesaria
En el actual y peligroso clima de ciberseguridad, la seguridad de los datos empresariales es fundamental, y se requiere cierto grado de conocimiento de las amenazas, ya sea que esté en un SOC, un centro de TI o incluso en la gestión. Si desea desarrollar habilidades valiosas en seguridad para usted, sus empleados u otras personas, ahora puede acceder de por vida a una membresía Platinum de InfoSec4TC: Capacitación en seguridad cibernética a través de Newsmatic Academy.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ataques de Anonymous Sudan: amenazas cibernéticas y ataques DDoS en aumento , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados