Noticias - Actualidad
10
Mar
2022

INFOBLOX alerta de la proliferación de sitios fraudulentos vinculados a la crisis de Ucrania

Se destaca la dificultad de diferenciar los sitios y entidades legítimas de las fraudulentas, al operar muchas de ellas bajo el modelo de Organización Anónima Descentralizada (DAO) y utilizar tecnología de blockchain y criptomonedas para canalizar los fondos de ayuda.

Valora esta entrada

|

Infoblox recomienda verificar la legitimidad de las organizaciones antes de hacer cualquier donativo, dado además la amenaza añadida que supone interacturar con estos sitios, ya que aparte de la estafa monetaria se abre la puerta a robos de información personal, de medios de pago o a la difusión de malware. Infoblox Inc., líder en servicios de red seguros y gestionados desde la nube, ha hecho público un informe realizado por su departamento Threat Intelligence Group que pone de manifiesto un notable incremento en el número de nuevos nombres de dominio registrados relacionados con la invasión de Ucrania y la crisis humanitaria desencadenada como consecuencia de ella. Los ciberdelincuentes están aprovechando este movimiento mundial de solidaridad para crear sitios fraudulentos que suplantar o imitar esfuerzos de apoyo hunamitario genuinos.

El análisis del tráfico de DNS realizado por Infoblox desde el 24 de febrero ha mostrado un aumento espectacular en los dominios relacionados con Ucrania: del 24 al 28 de febrero, se vieron por primera vez más del doble de dominios que en la semana anterior a la ofensiva rusa:

Figura 1. El número de dominios recientemente observados que contienen el término «ucrania» (Ver imagen superior)

Infoblox ha desarrollado múltiples análisis y está evaluando activamente el nivel de amenaza de los dominios recién observados. Se han detectado diversas actividades maliciosas, que van desde campañas de malware hasta entidades que se hacen pasar por organismos de coordinación para la la entrega de suministros médicos a Ucrania. Entre las amenazas más frecuentes en este entorno se encuentran las estafas para recolectar criptomonedas.

Una de las mayores dificultades para identificar las actividades fraudulentas es que las diferentes iniciativas humanitarias – tanto legítimas como fraudulentas – se están realizando en forma de Organizaciones Anónimas Descentralizadas (DAO). Este tipo de organizaciones surgen de forma espontánea en este tipo de crisis, con un objetivo específico, son propiedad de los miembros que la forman pero carecen de un liderazgo centralizado o único. A menudo utilizan tecnología de blockchain para canalizar las transacciones financieras. Por ejemplo, el día 26 de febrero se detectó una cuenta de Twitter que se identificaba como perteneciente al gobierno ucraniano que solicitó donaciones en criptomoneda, lo que podría haber contribuido a la oleada de sitios emergentes que ofrecen donaciones mediante moneda virtual. Por este motivo se están produciendo una serie de “falsos positivos”, con organizaciones de seguridad calificando de sitios fraudulentos a organizaciones DAO que son legítimas, como por ejemplo la iniciativa puesta en marcha Nadya Tolokonnikova, fundadora de Pussy Riot. Aunque el dominio está recién registrado y utiliza criptomonedas, los fundadores reclaman públicamente la DAO de Ucrania y la reconocen en cuentas de Twitter verificadas. Hemos llegado a la conclusión de que este dominio no aloja malware ni contenido fraudulento.

Por el contrario, otras DAO son más sospechosas y carecen de vínculos creíbles con personalidades establecidas en la región. Aunque a primera vista el contenido es similar al de sitios de ayuda legítimos, hay una serie de elementos que hacen sospechar de que se trate de sitios fraudulentos, como son el hecho de que la dirección de Ethereum anunciada no tiene transacciones, no hay ningún reclamo validado públicamente de este sitio y que los propietarios del sitio crean transacciones de terceros a otro dominio recientemente registrado.

La conclusión es que para el usuario medio es muy difícil discernir qué sitios son legítimos y cuáles no, lo que además supone una amenaza añadida, al exponerse no solo a la estafa monetaria, sino también a abrir un canal de comunicación a los ciberdelincuentes para que puedan además robar información personal, de tarjetas de crédito y distribuir malware.

Prevención y mitigación

Infoblox recomienda como primera medida verificar la legitimidad de las organizaciones antes de hacer cualquier donativo. Algunos de estos sitios podrían servir como frentes fraudulentos para operaciones de inteligencia u operaciones de delitos cibernéticos, lo que representa un riesgo potencial de spyware para dispositivos de punto final y recolección de información de identificación personal (PII). Antes de proporcionar información personal o financiera a este tipo de sitios web, verificar con una fuente establecida que identifique a la organización y su dominio de alojamiento.

Infoblox proporcionará indicadores relacionados con la guerra en Ucrania tanto en la tabla a continuación como en una lista descargable que también incluye una breve nota sobre cada indicador. Hemos descubierto estos indicadores en una o más de nuestras fuentes de datos patentadas y la lista no pretende ser exhaustiva en el sentido de incorporar indicadores de otras fuentes públicas. Nuestros indicadores se desglosan en aquellos que son maliciosos y aquellos que hemos validado para que no contengan malware o contenido fraudulento en el momento de la evaluación.

Para más información, así como para obtener una lista completa de los indicadores de compromiso detectados por Infoblox hasta la fecha, se puede consultar la página https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/cyber-threat-advisory-ukrainian-support-fraud/