A comunidade Curated Intelligence está trabalhando com analistas de todo o mundo para fornecer informações úteis a organizações na Ucrânia que procuram inteligência adicional gratuita sobre ameaças.
Analistas da Curated Intelligence em todo o mundo estão monitorando continuamente a situação e atualizando o Repositório com ataques à Ucrânia o mais próximo possível do tempo real para um grupo de voluntários.
Equinix Threat Analysis Center (ETAC)™️ IOCs verificados (veja aqui?)
KPMG-Egyde IOC Threat Hunt Feeds (veja aqui?):
- Adicionados feeds de caça a ameaças do IOC, pouco controlados, por KPMG-Egyde CTI (h/t @0xDISREL)
- Os IOCs compartilhados por esses feeds têm CONFIANÇA BAIXA A MÉDIA, recomendamos NÃO adicioná-los a uma lista de bloqueio
- Eles podem ser usados para CAÇA A AMEAÇAS e podem ser adicionados a uma WATCHLIST
- Os IOCs são gerados no formato CSV COMPATÍVEL COM MISP
Visão geral das campanhas alinhadas à Rússia contra a Ucrânia (até 2 de março de 2022):
- Dois tipos de malware destrutivo projetados para limpar o Master Boot Record (MBR) de instituições governamentais ucranianas conhecidas como WhisperGate e HermeticWiper
- Ataques distribuídos de negação de serviço (DDoS) para sobrecarregar e incapacitar os sites de instituições governamentais ucranianas e bancos ucranianos, SMS e e-mails falsos também foram enviados ao mesmo tempo para criar pânico
- Desfigurações de sites contra instituições governamentais ucranianas para espalhar desinformação
- Tropas ucranianas estão recebendo mensagens SMS ameaçadoras de operações psicológicas russas
- E-mails de phishing com anexos maliciosos contendo malware do grupo russo FSB baseado na Crimeia conhecido como Gamaredon (também conhecido como Shuckworm ou PrimitiveBear)
- E-mails de phishing com anexos maliciosos ou URLs para páginas de coleta de credenciais do Ministério da Defesa da Bielorrússia (suporte do GRU russo) conhecido como GhostWriter (também conhecido como UNC1151)
- O grupo Sandworm (também conhecido como VoodooBear) foi atribuído pelo NCSC do Reino Unido a um novo malware da Internet das Coisas (IoT) chamado CyclopsBlink; o malware é um substituto para seu botnet VPNfilter, que visava dispositivos ICS/OT ucranianos desde 2017
- Corretores de dados que oferecem bancos de dados roubados de instituições governamentais ucranianas, empresas privadas e organizações de infraestrutura crítica
- Atores de ameaças russos “patrióticos” lançando ataques DDoS contra instituições governamentais ucranianas; Os botnets DDoS envolvidos incluem Mirai, Gafgyt, IRCbot, Ripprbot e Moobot, de acordo com o 360 NetLab da China
- Corretores de acesso que oferecem uma base inicial em instituições governamentais ucranianas e organizações do setor privado
- O grupo de ransomware Conti (também conhecido como WizardSpider) prometeu sua lealdade ao estado russo e afirmou que “atacará as infraestruturas críticas” se a Rússia for alvo de guerra cibernética; Conti, no entanto, divulgou uma declaração secundária retrocedendo alguns de seus reivindicações
- Seguindo Conti, o grupo de reféns de dados CoomingProject (rouba dados e não implanta ransomware) também prometeu fidelidade ao estado russo
- Os golpistas criaram vários sites que procuram roubar doações daqueles que desejam apoiar a Ucrânia, um endereço de criptomoeda usado para coletar doações por meio desses sites fraudulentos foi vinculado a uma variante de ransomware conhecida de acordo com TRMLabs
Fonte: Curated Intelligence
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.