Na Linha de Frente da Guerra Cibernética Global: Visão Geral dos Principais Grupos APT apoiados pela Rússia que Visam a Ucrânia e Regras Sigma para Defender Proativamente Contra Suas TTPs

O Serviço Estatal de Comunicação Especial e Proteção de Informação da Ucrânia (SSSCIP) recentemente emitiu um relatório analítico cobrindo a agressão cibernética da rússia contra a Ucrânia em 2022. O relatório fornece insights sobre os principais coletivos de hackers que estiveram em destaque desde o início da guerra em grande escala na Ucrânia, analisa as TTPs dos adversários para executar intrusões, e cobre as principais tendências e vetores de ataque ilustrando sua atividade maliciosa para ajudar tanto organizações ucranianas quanto globais a se defenderem proativamente contra os ciberataques russos de qualquer escala.

Em 24 de fevereiro de 2022, pouco mais de um ano atrás, a federação russa iniciou uma invasão ofensiva da Ucrânia por terra, ar e mar. A guerra também escalou no ciberespaço. Como resultado, estamos agora testemunhando a primeira guerra cibernética completa da história humana, com a Rússia atuando como ofensora e a Ucrânia se defendendo, junto com seus aliados, na linha de frente cibernética. Chamar tais ataques de guerra cibernética não parece mais uma metáfora.

No entanto, enquanto a ofensiva terrestre por tropas e mísseis russos tenha sido inesperada, a guerra cibernética contra a Ucrânia vem ocorrendo há quase uma década, começando por uma série de ataques destrutivos pelo grupo Sandworm APT associado à Rússia usando o infame malware BlackEnergy em 2015-2016 e o notório malware NotPetya em 2017, tendo como alvo o setor financeiro ucraniano. O que podemos ver hoje em dia na frente cibernética russa é o resultado de sua estratégia de 30 anos.O SSSCIP relata que o governo de Moscou desenvolveu uma ampla rede de afiliados ofensivos treinados que podem executar comandos militares, estão equipados com zero-day e têm ampla experiência em lançar campanhas autônomas a baixo custo, enquanto operações de defesa cibernética ainda permanecem bastante custosas.

De acordo com o relatório da SSSCIP e com base nas estimativas do CERT-UA de incidentes investigados, atores de ameaça afiliados à Rússia realizaram 2.194 ataques cibernéticos destrutivos contra a Ucrânia, com 52% deles (1.148) sendo os mais críticos e de alto nível, que foram investigados e mitigados com sucesso pelo esforço conjunto do CERT-UA e seus parceiros. Especialistas em segurança do Grupo de Pesquisa de Ameaças do Google observaram um aumento de 250% nos ataques contra ativos ucranianos durante 2022 (em comparação com 2021). O foco dos ataques, que coincidiu e persistiu após a invasão militar do país pela Ucrânia em fevereiro de 2022, tinha como alvo principalmente o governo ucraniano e entidades militares, além da infraestrutura crítica, serviços públicos e setores de mídia. A Mandiant disse que observou “mais ataques cibernéticos destrutivos na Ucrânia durante os primeiros quatro meses de 2022 do que nos oito anos anteriores, com os ataques atingindo o pico no início da invasão”. Com a escalada das operações ofensivas cibernéticas da Rússia, os defensores cibernéticos perceberam que nenhuma organização individual pode suportar sozinha a avalanche de ataques destrutivos apoiados pela Rússia, o que ressalta a necessidade de colaboração global em cibersegurança para impedir agressões cibernéticas dessa escala.

SOC Prime está na linha de frente da guerra cibernética global, ajudando a Ucrânia e seus aliados a se defenderem da agressão russa. Ao cooperar com o CERT-UA e SSSCIP, pesquisamos, desenvolvemos e testamos regras Sigma no campo de batalha real, entregando mais de 400 peças de novos conteúdos de detecção por mês para ajudar a impedir os ataques destrutivos da Rússia.

A plataforma da SOC Prime para defesa cibernética coletiva curadoria mais de 10.000 regras Sigma baseadas em comportamento alinhadas com o framework MITRE ATT&CK v12 e facilmente compartilhadas em mais de 27 soluções SIEM, EDR e XDR. A SOC Prime compartilha publicamente todos os metadados associados a mais de 260.000 algoritmos de detecção, pois compartilhar informações permite que qualquer pessoa beneficie-se e contribua com as regras Sigma, uma vez que elas descrevem o comportamento dos adversários que pode ser utilizado em qualquer ataque cibernético. A troca oportuna de informações, incluindo TTPs e padrões de comportamento dos adversários, permite que os defensores cibernéticos ganhem uma vantagem estratégica na guerra cibernética em curso.

Aqui você pode encontrar uma lista de algoritmos de detecção curados para defender-se proativamente da atividade maliciosa dos grupos APTs apoiados pela nação russa mencionados na investigação da SSSCIP como atores de ameaça que estão ativamente implantando ataques cibernéticos destrutivos contra múltiplos setores da indústria na Ucrânia ao longo de 2022.

Todas as regras Sigma estão alinhadas com o framework MITRE ATT&CK v12 e são compatíveis com as tecnologias líderes de mercado em SIEM, EDR e XDR. Os defensores cibernéticos podem imediatamente mergulhar no contexto relevante da ameaça cibernética para links, mitigações e metadados operacionais relevantes do ATT&CK e CTI para acelerar sua investigação de ameaças.

Detectando a Atividade Adversária do Gamaredon APT (UAC-0010)

De acordo com o relatório da SSSCIP, analisando a atividade de coletivos de hackers patrocinados por estados ao longo de 2022, o Gamaredon APT pode ser considerado o grupo mais ativo e persistente com base nos incidentes registrados na 2ª metade de 2022. Durante esse período, os atores de ameaça direcionaram principalmente suas operações ofensivas ao setor militar, de segurança e defesa ucraniano, bem como a instituições governamentais.

Este grupo afiliado à Rússia, apoiado pela nação, é monitorado sob uma variedade de codinomes, incluindo Armageddon APT também conhecido como UAC-0010, Trident Ursa, Shuckworm, e Primitive Bear. De acordo com o Serviço de Segurança da Ucrânia, a atividade do grupo é atribuída ao Serviço Federal de Segurança da Rússia, visando operações de inteligência e subversivas contra a Ucrânia e aliados da OTAN na linha de frente cibernética. Siga o link abaixo para acessar o conjunto completo de regras Sigma para detectar a atividade maliciosa relacionada:

Regras Sigma para detectar os TTPs usados em ciberataques vinculados ao UAC-0010

Detectando Campanhas Maliciosas do Sandworm APT (UAC-0082)

Outro coletivo de hackers que esteve em destaque ao longo de 2022 é a notória Unidade 74455 afiliada ao GRU, conhecida como grupo Sandworm APT, que também é monitorada como UAC-0082 pelo CERT-UA. Durante o período observado, o grupo focou principalmente em organizações ucranianas nos setores de logística e transporte, mídia e energia.

Em meados de abril de 2022, o CERT-UA, em colaboração com a Microsoft e a ESET, emitiu um alerta cobrindo o segundo ataque de falta de energia na história humana atribuído ao UAC-0082. Neste ataque, hackers russos utilizaram o Industroyer2, uma versão nova da nefasta família de malware Industroyer, em conjunto com um malware de limpeza de dados, chamado CaddyWiper. Este último surgiu na arena de ameaças cibernéticas logo após ataques cibernéticos empregando HermeticWiper and malware WhisperGate , ilustrando a tendência de limpeza no cenário de ameaças ucraniano na segunda metade de 2022. Abaixo, você pode encontrar a lista abrangente de regras Sigma para detectar a atividade maliciosa do grupo UAC-0082, também conhecido como Grupo Sandworm.

Regras Sigma para detectar a atividade adversária do grupo UAC-0082

Detectando a Atividade Maliciosa do Grupo UAC-0056

Atores de ameaça identificados como UAC-0056 também têm como alvo organizações ucranianas desde a invasão completa da Rússia na Ucrânia, focando principalmente suas campanhas maliciosas nos setores governamental e bancário. Este coletivo de hackers esteve por trás de ataques massivos de phishing na primavera de 2022, utilizando Cobalt Strike Beacon, GrimPlant e GraphSteel malware. Para defender proativamente a infraestrutura de sua organização contra intrusões vinculadas ao grupo UAC-0056, a plataforma Detection as Code da SOC Prime curadoria um conjunto de regras Sigma dedicadas disponíveis através do link abaixo:

Regras Sigma para detectar os TTPs relacionados à atividade maliciosa dos hackers UAC-0056

Detectando a Atividade Adversária Atribuída ao Grupo UAC-0020

Vermin, também monitorado como UAC-0020, é outro coletivo de hackers que tem causado alvoroço na arena de ameaças cibernéticas ucraniana desde 2022, vinculado a operações ofensivas apoiadas pela Rússia. Semelhante ao grupo Sandworm APT, os atores maliciosos do Vermin estavam mirando nos setores militar, de segurança e defesa durante 2022.

Pesquisadores de cibersegurança atribuem este grupo à chamada República Popular de Luhansk (LPR), um estado autoproclamado não reconhecido na região de Donbas no leste da Ucrânia. Segundo a investigação, o Vermin é um grupo apoiado pelo estado atuando como uma unidade operacional da guerra cibernética russa na linha de frente da guerra cibernética global. Os defensores cibernéticos podem acessar instantaneamente a coleção completa de regras Sigma para detectar tempestivamente ameaças atuais e emergentes atribuídas aos cibercriminosos ligados à Rússia do UAC-0020 seguindo o link abaixo:

Regras Sigma para detectar operações maliciosas vinculadas aos atores UAC-0020

Detectando Ataques Cibernéticos Contra a Ucrânia Vinculados aos Atores UAC-0142

Outro grupo de hackers que tem como alvo os setores militar, de segurança e defesa é monitorado como UAC-0142, que tem explorado principalmente o vetor de ataque de phishing em ataques cibernéticos durante 2022. No final de 2022, atores maliciosos visavam hackear o sistema de consciência situacional baseado no estado conhecido como DELTA, que é usado para facilitar a coordenação das forças militares no campo de batalha. Para identificar tempestivamente as intrusões maliciosas vinculadas aos atores de ameaça UAC-0142, a Plataforma SOC Prime oferece uma coleção completa de regras Sigma relevantes disponíveis através do link abaixo:

Regras Sigma para defender proativamente contra ataques cibernéticos pelo grupo UAC-0142

Especialistas em segurança podem tirar proveito da abrangente coleção de regras Sigma contra APTs apoiadas pela nação russa juntamente com 50 algoritmos de detecção únicos de sua escolha. Beneficie-se da assinatura de caridade Sigma2SaveLives com 100% da receita doada para fornecer ajuda focada ao povo ucraniano e sempre fique à frente dos atores de ameaça afiliados à Rússia.