En marzo, la Oficina Federal de Investigaciones (FBI) desmanteló una botnet a gran escala perteneciente a un actor de amenazas patrocinado por el estado ruso conocido como Sandworm.
Según un informe de TechCrunch, Sandworm ha infectado miles de terminales con el malware Cyclops Blink (se abre en una nueva pestaña), el sucesor del ahora desaparecido VPNFilter. Cyclops Blink permite a Sandworm realizar espionaje cibernético, lanzar ataques de denegación de servicio distribuido (DDoS, se abre en una nueva pestaña)), manipular dispositivos comprometidos e interrumpir redes.
Después de recibir luz verde de los tribunales de California y Pensilvania, el FBI eliminó Cyclops Blink de sus servidores C2, desconectando miles de puntos finales comprometidos. El Departamento de Justicia declaró que la redada fue un éxito, pero aun así aconsejó a los propietarios de dispositivos que revisen el aviso original y hagan que sus dispositivos sean más seguros.
amenazas rusas
Cyclops Blink había estado activo desde febrero, dijo el Departamento de Justicia (DoJ), y aunque las fuerzas del orden lograron asegurar algunos de los dispositivos comprometidos, la mayoría todavía estaba infectada y utilizada por los actores de amenazas.
“La operación no involucró ninguna comunicación del FBI con robots”, agregó el Departamento de Justicia.
Sandworm es un actor de amenazas conocido que trabaja para GRU, la unidad de inteligencia militar rusa. También es conocido como Voodoo Bear y Electrum, y fue responsable de los ataques DDoS en Georgia en 2008, así como del apagón en Ucrania en 2015.
Según la organización no partidista Council on Foreign Affairs, Sandworm se dirige principalmente a los sistemas de control industrial, utilizando una herramienta conocida como Black Energy. Además del espionaje cibernético, el grupo a menudo participa en ataques DoS y se cree que está detrás de la campaña NotPetya de 2017.
El mismo año, criticó a partidos políticos y agencias gubernamentales locales en Francia, incluidas las vinculadas al presidente. Y en 2020, la Agencia de Seguridad Nacional de EE. UU. (NSA) acusó al grupo de atacar los servicios de mensajería de todo el mundo.
"Los actores explotaron a las víctimas usando el software Exim en sus MTA públicos al enviar un comando al campo 'CORREO DE' de un mensaje SMTP (Protocolo simple de transferencia de correo)", dijo la NSA en ese momento.
A través de TechCrunch (se abre en una nueva pestaña)