Desde la invasión rusa a Ucrania el 24 de febrero, Infoblox Threat Intelligence Group ha observado un marcado aumento en la cantidad de nuevos sitios fraudulentos relacionados con Ucrania en los DNS. Gran parte de esta actividad es parte de una respuesta global a la crisis humanitaria que está ocurriendo en Europa del Este, y parte de esta actividad consiste en nuevos esfuerzos liderados por grupos previamente descoordinados. Sin embargo, los ciberdelincuentes también aprovecharon la oportunidad y crearon muchos sitios para suplantar o imitar esfuerzos de soporte genuinos. Distinguir entre estos dos escenarios puede ser difícil incluso para las personas más cautelosas.
El análisis del tráfico de DNS desde el 24 de febrero ha mostrado un aumento espectacular en los dominios relacionados con Ucrania: del 24 al 28 de febrero, se vieron por primera vez más del doble de dominios que en la semana anterior a la ofensiva rusa.
En respuesta, Infoblox ha desarrollado múltiples análisis y está evaluando activamente el nivel de amenaza de los dominios recién observados. Han encontrado indicadores relacionados con actividades que van desde campañas de malware hasta personas que realizan nuevos esfuerzos para coordinar la entrega de suministros médicos a Ucrania. Entre las amenazas más frecuentes en este entorno se encuentran las estafas para recolectar criptomonedas.
Nota relacionada: Recomendaciones de ciberseguridad para estar preparados ante la crisis de Ucrania
Uno de los desarrollos que dificulta el análisis es que muchos esfuerzos, tanto legítimos como fraudulentos, se están estableciendo como Organizaciones Anónimas Descentralizadas (DAO). Una DAO típica se centra en un tema específico, como la guerra en Ucrania, y es una organización propiedad de sus miembros sin un liderazgo central. Estas organizaciones se basan en registros y reglas de transacciones financieras establecidas en una cadena de bloques. De hecho, el 26 de febrero, una cuenta de Twitter identificable con el gobierno ucraniano solicitó donaciones en criptomonedas, lo que podría haber contribuido a la oleada de sitios emergentes que ofrecen donaciones mediante moneda virtual.
En las horas posteriores a que las tropas rusas cruzaran la frontera con Ucrania, se establecieron varios DAO legítimos para protestar por las acciones de Rusia y crear apoyo financiero para Ucrania. Quizás el más notable de estos es el DAO de Ucrania, alojado en ukrainedao[.]love y establecido por la fundadora de Pussy Riot, Nadya Tolokonnikova, y otros activistas. Debido al nuevo registro y uso de criptomonedas de este DAO, muchos proveedores de seguridad han concluido falsamente que su dominio de alojamiento es malicioso.
El sitio web de Ucrania DAO ofrece dos métodos para donar a la causa:
- Las personas pueden donar criptomonedas directamente a la billetera Ethereum ukrainedao[.]eth, y (2) las personas con una billetera en cadena pueden donar y recibir una ficha de “amor” que no tiene valor monetario pero sí tiene impacto social. Aunque está alojado en un dominio recién registrado y utiliza criptomonedas, los fundadores reclaman públicamente la DAO de Ucrania y la reconocen en cuentas de Twitter verificadas. Hemos llegado a la conclusión de que este dominio no aloja malware ni contenido fraudulento.
Por el contrario, una serie de otras DAO son más sospechosas y carecen de vínculos creíbles con personalidades establecidas en la región. Como el dominio saveukraine[.]xyz. A primera vista, el contenido es similar al de Ucrania DAO; sin embargo, según varios factores, se evaluó que este sitio web es una estafa de criptomonedas:
- La dirección de Ethereum anunciada no tiene transacciones.
- No hay ningún reclamo validado públicamente de este sitio.
- Investigadores establecidos de ESET concluyeron que el sitio web es fraudulento.
- Los propietarios del sitio están creando transacciones de terceros a otro dominio recientemente registrado, unchain[.]fund, por el cual reciben tarifas.
Comparar la DAO de Ucrania con saveukraine[.]xyz demuestra lo difícil que puede ser para el consumidor promedio distinguir entre una actividad válida y una actividad nefasta. Además de recibir dinero de forma falsa, los ciberdelincuentes pueden usar esta interacción para robar información personal y tarjetas de crédito y distribuir malware.
Los investigadores de Infoblox han analizado manualmente docenas de dominios recientemente observados relacionados con Ucrania. Además de los sitios web de donaciones como los ya descritos, la invasión ha inspirado esfuerzos de base para reunir apoyo, protestar contra la invasión y brindar ayuda al pueblo de Ucrania. Se han creado nuevos sitios fraudulentos para recopilar medicamentos y suministros, organizar voluntarios para las milicias y difundir información sobre las protestas locales. Algunos de estos sitios web incorporan hojas de cálculo o enlaces a Formularios de Google, que a menudo se asocian con comportamientos maliciosos.
Prevención y mitigación
Las personas y organizaciones que deseen apoyar causas humanitarias en Ucrania o ser parte de los esfuerzos locales para poner fin a la guerra deben tener mucho cuidado al interactuar con sitios web relacionados con dichos esfuerzos.
La recomendación es que todos lo piensen dos veces antes de hacer clic en los enlaces a los sitios y verifiquen la legitimidad de estas organizaciones. Algunos de estos sitios podrían servir como frentes fraudulentos para operaciones de inteligencia u operaciones de delitos cibernéticos, lo que representa un riesgo potencial de spyware para los dispositivos finales y la recopilación de información de identificación personal (PII). Antes de proporcionar información personal o financiera a este tipo de sitios web, verifique con una fuente establecida que identifique a la organización y su dominio de alojamiento.