Alertă de securitate cibernetică: politicieni ucraineni și serviciile medicale din SUA, vizați de gruparea de hackeri RomCom

Gruparea de hackeri cunoscută sub numele de RomCom își concentrează atacurile asupra politicienilor ucraineni și sectorului medical din SUA, în cadrul unei amenințări cibernetice emergente, relatează un raport realizat de BlackBerry Threat Research.

Gruparea se pare că utilizează tehnici sofisticate, inclusiv phishing și typosquatting (deturnare a adreselor URL) și utilizează o versiune cu troieni a managerului de desktop de la distanță Devolutions.

Hackerii își selectează victimele în funcție de apropierea lor față de organizații pro-Ucraina sau de implicarea lor în astfel de organizații, în special în cele care îi ajută pe refugiați să fugă din calea conflictului în desfășurare din țară.

Campania de phishing atent pregătită și implementată de RomCom este proiectată să păcălească victimele să descarce malware accesând site-uri web corupte, care reproduc îndeaproape site-urile web autentice și legitime.

Atacatorii au dat dovadă de ingeniozitate în utilizarea tehnicii typosquatting, creând site-uri false atât de fidele site-urilor autentice, încât au convins cu ușurință victimele să descarce software-ul periculos.

Odată instalat, troianul începe să culeagă metadate ale gazdei și utilizatorilor din sistemele compromise, pe care le trimite apoi către un server comandă și control (C2) controlat de hackeri.

„Deși este încă neclar ce vector de atac a fost utilizat, atacurile desfășurate anterior de RomCom utilizau emailuri de phishing targetate pentru a direcționa o victimă către un site web clonat care găzduia versiuni cu troieni ale unor software-uri bine-cunoscute”, a declarat consilierul pe probleme de securitate al echipei BlackBerry Research and Intelligence. „Este foarte probabil ca același lucru să se fi întâmplat și în acest caz, având în vedere că tacticile, tehnicile și procedurile (TTP) se aliniază.”

Alarmant este motivul clar geopolitic din spatele acțiunilor RomCom. Spre deosebire de alte grupări de criminalitate cibernetică, care își doresc în principal să obțină câștiguri financiare, RomCom pare să-și dorească să extragă informații sensibile.

Acestea pot include secrete militare, strategii de apărare și atac, programe de instruire și alte date clasificate. Autorii amenințărilor par să exploateze și orice informații disponibile anterior despre țintele lor, cum ar fi software-uri utilizate, implicarea lor în programe sociale și politice și modul în care folosesc software-urile lor.

Având în vedere sofisticarea și obiectivele clar strategice ale grupării RomCom, este evident că organizațiile implicate în activitățile pro-Ucraina, precum și sectorul medical din SUA, în ansamblul lui, trebuie să-și îmbunătățească securitatea cibernetică pentru a se proteja împotriva acestor atacuri.

„Pe parcursul investigațiilor noastre, BlackBerry a identificat mai multe victime care provin, în principal, din Ucraina”, au explicat cercetătorii. „Acest lucru este în concordanță cu geolocațiile vizate în trecut de RomCom. De asemenea, am identificat probe privind existența a cel puțin unei ținte din Statele Unite. Victimele vizate operează în industrii diferite, cum ar fi sectorul militar și medical, dar au o temă comună, și anume invazia Ucrainei de către Rusia.”

Experții le recomandă utilizatorilor să verifice legitimitatea site-urilor web înainte de a descărca orice software-uri și să fie precauți când primesc e-mailuri neașteptate, chiar și cele care par să provină de la contacte cunoscute.

Software-urile specializate de securitate cibernetică precum Bitdefender Premium Security te pot proteja împotriva atacurilor de tip phishing, troienilor și altor amenințări digitale. Caracteristicile principale ale acestei soluții includ:

• detecție și protecție continuă și totală împotriva virușilor de tip worm, troienilor, exploit-urilor zero-day, spyware-ului, ransomware-ului, rootkit și altor amenințări din sfera cibernetică
• modul anti-phishing care detectează și blochează site-urile web care pretind a fi legitime pentru a-ți fura datele personale, datele de autentificare sau fondurile
• tehnologie de detecție pe bază de comportamente, care monitorizează îndeaproape aplicațiile active de pe sistemul tău și acționează prompt atunci când detectează un comportament suspect
• modul de prevenire a amenințărilor din rețea, care identifică și blochează activitățile suspecte de la nivelul rețelei, inclusiv atacurilor de tip brute force, URL-urile care sunt asociate unor malware-uri și botneturi și exploiturile sofisticate