Organizaciones del sector de infraestructura de países de Europa del Este, principalmente Ucrania y Rusia, fueron blanco de ataques cibernéticos el martes, 24 de octubre. De acuerdo con FireEye, la empresa global de seguridad avanzada de TI que proporciona protección dinámica contra amenazas en tiempo real, a las 8am hora local, los sistemas de la compañía comenzaron a detectar y bloquear intentos de infección a diversos clientes por medio del download drive-by, el cual es autorizado por el usuario sin imaginar las consecuencias, una vez que aparece disimulado como una actualización Flash que se aloja en la infraestructura del atacante.
Estos intentos fueron relatados de manera simultánea a partir de diversas fuentes locales, lo que señala una campaña estratégica generalizada que fue conocida como BADRABBIT. “Los dispositivos de red de FireEye bloquearon las tentativas de infección en varias víctimas globales, hasta el momento en que los sitios web monitoreados que contenían el código malicioso fueron desconectados”, explicó Nick Carr, Gerente Senior de Detección y Análisis de FireEye. “El uso de compromisos estratégicos en la web y la actuación de especialistas en comportamiento, proporcionan barreras que permiten a los atacantes seleccionar cuidadosamente sus blancos y bloquear rápidamente las operaciones”, complementó.
“’Compromiso estratégico en la web’ significa que un invasor hospeda código malicioso en el sitio de la víctima sin su conocimiento, el cual es usado para infectar los verdaderos blancos. Los sitios son cuidadosamente seleccionados, de modo que alcancen los objetivos y dejen daños colaterales mínimos. No es el caso de BADRRABIT, buena parte eran sitios de viajes y medios de Europa Oriental, usados para trazar el perfil de los visitantes y entregar el payload (carga útil de malware)”, finalizó Carr.
FireEye ha observado el uso de este cuadro de JavaScript mal intencionado desde febrero de 2017, incluyendo muchos de los sitios registrados en este reciente ataque a Europa del Este. La estructra actúa como un perfilador que reúne informaciones de aquellos que entran a las páginas comprometidas, como host y dirección IP, navegador, sitio de referencia y cookie del sitio de referencia, lo que permite a los invasores obtener más datos sobre las potenciales víctimas antes de implantar las cargas útiles (en este caso la actualización flash por medio del ransomware BADRRABIT).