Home Ciberguerra Microsoft vincula los ataques de borrado de datos, al nuevo grupo de...

Microsoft vincula los ataques de borrado de datos, al nuevo grupo de piratas informáticos ruso, GRU

Microsoft ha vinculado a un grupo de amenazas que rastrea como Cadet Blizzard desde abril de 2023 con la Dirección Principal del Estado Mayor de las Fuerzas Armadas de Rusia (también conocida como GRU).

Anteriormente, la compañía relacionó a este nuevo grupo de piratas informáticos de la GRU con los destructivos ataques de borrado de datos WhisperGate en Ucrania que comenzaron el 13 de enero de 2022, más de un mes antes de la invasión rusa de Ucrania en febrero de 2022.

Cadet Blizzard también estuvo detrás de la desfiguración de sitios web ucranianos a principios de 2022 y de varias operaciones de pirateo y filtración que se promovieron en un canal de Telegram de baja actividad conocido como “Free Civilian”.

Se cree que el grupo comenzó a operar en 2020, priorizando el objetivo de los servicios gubernamentales, las fuerzas del orden, las organizaciones sin fines de lucro / no gubernamentales, los proveedores de servicios de TI / consultoría y los servicios de emergencia en Ucrania.

Microsoft dice que los ataques de Cadet Blizzard tienen una tasa de éxito relativamente más baja en comparación con otros grupos de hacking afiliados a la GRU como APT28 (Strontium, Fancy Bear) y Sandworm (Iridium).

Aunque Cadet Blizzard desapareció del radar después de junio de 2022, el grupo resurgió a principios de 2023, y sus operaciones cibernéticas más recientes tuvieron un éxito ocasional. Sin embargo, no lograron igualar el impacto de los ataques de sus homólogos del GRU.

Desde los ataques de desfiguración y borrado de datos de 2022 y a partir de febrero de 2023, el grupo de piratas informáticos GRU ha estado detrás de un aluvión de ataques dirigidos a organizaciones gubernamentales y proveedores de TI ucranianos.

Por ejemplo, Redmond vinculó al menos un incidente de una serie de brechas reportadas por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en febrero, diciendo que encontró evidencia de puertas traseras plantadas por hackers estatales rusos en múltiples sitios web del gobierno después de brechas que se remontan a diciembre de 2021.

CERT-UA vinculó los ataques a Ember Bear, un grupo que cree que ha estado activo desde al menos marzo de 2021, con ataques dirigidos a organizaciones ucranianas con ladrones de información, puertas traseras y borradores de datos camuflados como ransomware entregados principalmente a través de correos electrónicos de phishing.