En la Primera Línea de la Guerra Cibernética Global: Resumen de los Principales Grupos APT Respaldados por Rusia que Apuntan a Ucrania y Reglas Sigma para Defenderse Proactivamente Contra sus TTP

El Servicio Estatal de Comunicación Especial y Protección de la Información de Ucrania (SSSCIP) emitió recientemente un informe analítico que cubre la agresión cibernética de rusia contra Ucrania en 2022. El informe ofrece información sobre los principales colectivos de hackers que han estado en el centro de atención desde el inicio de la guerra a gran escala en Ucrania, analiza TTPs de adversarios para ejecutar intrusiones y cubre las principales tendencias y vectores de ataque que ilustran su actividad maliciosa para ayudar tanto a las organizaciones ucranianas como a las globales a defenderse proactivamente contra los ataques cibernéticos rusos de cualquier escala.

El 24 de febrero de 2022, un poco más de un año atrás, la federación rusa inició una invasión ofensiva de Ucrania por tierra, aire y mar. La guerra también se intensificó en el ciberespacio. Como resultado, ahora somos testigos de la primera guerra cibernética plena de la historia humana, con rusia actuando como una contraparte ofensiva y Ucrania defendiéndose a sí misma y a sus aliados en la línea de frente cibernética. Llamar a tales ataques una guerra cibernética ya no parece una metáfora.

Sin embargo, aunque la ofensiva terrestre por parte de tropas y misiles rusos ha sido inesperada, la guerra cibernética contra Ucrania ha estado ocurriendo durante casi una década, comenzando con una serie de ataques destructivos por parte del grupo Sandworm APT afiliado a rusia, utilizando el infame malware BlackEnergy en 2015-2016 y el notorio malware NotPetya en 2017 dirigido al sector financiero ucraniano. Lo que podemos ver hoy en el frente cibernético ruso es el resultado de su estrategia de 30 años.El SSSCIP informa que el gobierno de Moscú ha desarrollado una amplia red de afiliados ofensivos entrenados que pueden ejecutar órdenes militares, están equipados con zero-days y tienen una amplia experiencia en el lanzamiento de campañas autónomas a bajo costo, mientras que las operaciones de defensa cibernética aún siguen siendo bastante costosas.

De acuerdo con el informe del SSSCIP y basado en las estimaciones de CERT-UA de los incidentes investigados, los actores de amenazas afiliados a rusia desplegaron 2,194 ataques cibernéticos destructivos contra Ucrania, con el 52% de ellos (1,148) siendo los más críticos y de alto nivel, que fueron investigados y mitigados exitosamente por el esfuerzo colectivo de CERT-UA y sus socios. Los expertos en seguridad del Grupo de Investigación sobre Amenazas de Google observan un aumento del 250% en ataques contra activos ucranianos durante 2022 (en comparación con 2021). El objetivo, que coincidió y desde entonces ha persistido tras la invasión militar del país a Ucrania en febrero de 2022, se centró intensamente en el gobierno ucraniano y entidades militares, junto con infraestructura crítica, servicios públicos y sectores de medios. Mandiant dijo que observó, «más ataques cibernéticos destructivos en Ucrania durante los primeros cuatro meses de 2022 que en los anteriores ocho años, con ataques que alcanzaron su punto máximo alrededor del inicio de la invasión.» Con la escalada de las operaciones ofensivas cibernéticas de rusia, los defensores cibernéticos se dieron cuenta de que ninguna organización individual puede soportar la avalancha de ataques destructivos respaldados por rusia por sí sola, lo que enfatiza la necesidad de una colaboración en ciberseguridad global para contrarrestar la agresión cibernética de tal magnitud.

SOC Prime se mantiene en guardia en el frente de la guerra cibernética global, ayudando a Ucrania y a sus aliados a defenderse de la agresión rusa. Al cooperar con CERT-UA y SSSCIP, investigamos, desarrollamos, y probamos reglas Sigma en el campo de batalla real, entregando más de 400 piezas de nuevo contenido de detección al mes para ayudar a contrarrestar los ataques destructivos de Rusia.

La plataforma de SOC Prime para la defensa cibernética colectiva curatea más de 10,000 reglas Sigma basadas en comportamiento alineadas con el marco MITRE ATT&CK v12 y que se comparten fácilmente entre más de 27 soluciones SIEM, EDR y XDR. SOC Prime comparte públicamente todos los metadatos asociados con más de 260,000 algoritmos de detección, ya que el intercambio de información permite a cualquiera tanto beneficiarse de como contribuir a las reglas Sigma mientras describen el comportamiento del adversario que se puede usar en cualquier ataque cibernético. El intercambio oportuno de información, incluidas TTPs y patrones de comportamiento del adversario, permite a los defensores cibernéticos ganar una ventaja estratégica en la guerra cibernética en curso.

Aquí puede encontrar una lista de algoritmos de detección curados para defenderse proactivamente contra la actividad maliciosa de los grupos de APT respaldados por rusia mencionados en la investigación de SSSCIP como actores de amenazas que despliegan activamente ataques cibernéticos destructivos contra múltiples sectores industriales en Ucrania a lo largo de 2022.

Todas las reglas Sigma están alineadas con el marco MITRE ATT&CK v12 y son compatibles con las tecnologías líderes en la industria SIEM, EDR y XDR. Los defensores cibernéticos pueden sumergirse instantáneamente en el contexto relevante de amenazas cibernéticas para enlaces ATT&CK y CTI relevantes, mitigaciones y metadatos operativos para acelerar su investigación de amenazas.

Detectando Actividad del Adversario de Gamaredon APT (UAC-0010)

De acuerdo con el informe de SSSCIP que analiza la actividad de los colectivos de hackers patrocinados por el estado durante 2022, Gamaredon APT puede considerarse el grupo más activo y persistente basado en los incidentes registrados en la segunda mitad de 2022. Durante este período, los actores de amenazas dirigieron principalmente sus operaciones ofensivas al sector militar, de seguridad y defensa de Ucrania, así como a las instituciones gubernamentales.

Este grupo afiliado a rusia respaldado por el estado es rastreado bajo una variedad de alias, incluidos Armageddon APT también conocido como UAC-0010, Trident Ursa, Shuckworm, y Primitive Bear. De acuerdo con el Servicio de Seguridad de Ucrania, la actividad del grupo se atribuye al Servicio Federal de Seguridad de rusia, dirigido a operaciones de inteligencia y subversivas contra Ucrania y los aliados de la OTAN en la línea de frente cibernética. Siga el enlace a continuación para acceder al conjunto completo de reglas Sigma para detectar la actividad maliciosa relacionada:

Reglas Sigma para detectar TTPs utilizados en ciberataques vinculados a UAC-0010

Detectando Campañas Maliciosas de Sandworm APT (UAC-0082)

Otro colectivo de hackers que estuvo en el centro de atención a lo largo de 2022 es la notoria Unidad 74455 afiliada al GRU conocida como grupo Sandworm APT, que también es rastreada como UAC-0082 por CERT-UA. Durante el período observado, el grupo se centró principalmente en organizaciones ucranianas en los sectores de logística y transporte, medios y energía.

A mediados de abril de 2022, CERT-UA, en colaboración con Microsoft y ESET, emitió una alerta que cubría el segundo ataque de apagón de energía en la historia humana atribuido a UAC-0082. En este ataque, los hackers rusos utilizaron Industroyer2, una nueva versión de la nefasta familia de malware Industroyer, junto con un malware de borrado de datos llamado CaddyWiper. Este último llegó al área de amenazas cibernéticas justo después de los ataques cibernéticos que desplegaban HermeticWiper and malware WhisperGate, ilustrando la tendencia de borrado en el panorama de amenazas de Ucrania para la segunda mitad de 2022. A continuación, puede encontrar la lista comprensiva de reglas Sigma para detectar la actividad maliciosa de UAC-0082 también conocido como grupo Sandworm. malware, illustrating the wiping trend in the Ukrainian threat landscape for the 2nd half of 2022. Below you can find the comprehensive list of Sigma rules to detect the malicious activity of UAC-0082 aka Sandworm Group.

Reglas Sigma para detectar la actividad adversaria del grupo UAC-0082

Detectando la Actividad Maliciosa del Grupo UAC-0056

Los actores de amenazas identificados como UAC-0056 también han estado atacando activamente a organizaciones ucranianas desde la invasión completa de Ucrania por parte de Rusia, enfocando principalmente sus campañas maliciosas en los sectores gubernamentales y bancarios. Este colectivo de hackers estuvo detrás de ataques de phishing masivos en la primavera de 2022, aprovechando Cobalt Strike Beacon, GrimPlant y GraphSteel malware. Para defender proactivamente la infraestructura de su organización contra intrusiones vinculadas al grupo UAC-0056, la plataforma Detection as Code de SOC Prime curatea un conjunto de reglas Sigma dedicadas disponibles a través del enlace a continuación:

Reglas Sigma para detectar TTPs relacionados con la actividad maliciosa de los hackers UAC-0056

Detectando la Actividad del Adversario Atribuida al Grupo UAC-0020

Vermin, también rastreado como UAC-0020, es otro colectivo de hackers que ha estado causando revuelo en el área de amenazas cibernéticas de Ucrania desde 2022, vinculado a operaciones ofensivas respaldadas por Rusia. Similarmente al grupo Sandworm APT, los actores maliciosos Vermin estuvieron dirigidos a los sectores militar, de seguridad y defensa durante 2022.

Los investigadores de ciberseguridad atribuyen este grupo a la llamada República Popular de Luhansk (LPR), un estado autoproclamado no reconocido en la región de Donbás del este de Ucrania. Según la investigación, Vermin es un grupo respaldado por el estado que actúa como una unidad operativa de la guerra cibernética rusa en la línea de frente de la guerra cibernética global. Los defensores cibernéticos pueden acceder instantáneamente a la colección completa de reglas Sigma para detectar a tiempo amenazas actuales y emergentes atribuidas a los cibercriminales vinculados a Rusia del UAC-0020 siguiendo el enlace a continuación:

Reglas Sigma para detectar operaciones maliciosas vinculadas a los actores de UAC-0020

Detectando Ataques Cibernéticos Contra Ucrania Vinculados a los Actores UAC-0142

Otro grupo de hackers que apunta a los sectores militar, de seguridad y defensa es rastreado como UAC-0142, que ha estado explotando principalmente el vector de ataques de phishing en ciberataques durante 2022. A finales de 2022, los actores maliciosos apuntaron a hackear el sistema estatal de conciencia situacional conocido como DELTA, que se utiliza para facilitar la coordinación de fuerzas militares en el campo de batalla. Para identificar a tiempo las intrusiones maliciosas vinculadas a los actores de amenazas UAC-0142, la Plataforma SOC Prime ofrece una colección completa de reglas Sigma relevantes disponibles a través de un enlace a continuación:

Reglas Sigma para defenderse proactivamente contra ataques cibernéticos por el grupo UAC-0142

Los expertos en seguridad pueden aprovechar la colección integral de reglas Sigma contra los APTs respaldados por la nación rusa junto con 50 algoritmos de detección únicos de su elección. Beneficie de la suscripción benéfica Sigma2SaveLives con el 100% de los ingresos donados para proporcionar ayuda enfocada al pueblo ucraniano y siempre mantenerse por delante de los actores de amenazas afiliados a rusia.