En marzo, la Oficina Federal de Investigaciones (FBI) desmanteló una botnet a gran escala perteneciente a un actor de amenazas patrocinado por el estado ruso conocido como Sandworm.

Según un informe de TechCrunch, Sandworm ha infectado miles de terminales con el malware Cyclops Blink (se abre en una nueva pestaña), el sucesor del ahora desaparecido VPNFilter. Cyclops Blink permite a Sandworm realizar espionaje cibernético, lanzar ataques de denegación de servicio distribuido (DDoS, se abre en una nueva pestaña)), manipular dispositivos comprometidos e interrumpir redes.

Nachdem das FBI grünes Licht von Gerichten in Kalifornien und Pennsylvania erhalten hatte, entfernte es Cyclops Blink von seinen C2-Servern und schaltete Tausende von kompromittierten Endpunkten offline. Das Justizministerium erklärte die Razzia für erfolgreich, riet den Gerätebesitzern aber dennoch, die ursprüngliche Empfehlung zu überprüfen und ihre Geräte sicherer zu machen.

amenazas rusas

Cyclops Blink war seit Februar aktiv, sagte das Justizministerium (DoJ), und obwohl es den Strafverfolgungsbehörden gelang, einige der kompromittierten Geräte zu sichern, waren die meisten immer noch infiziert und wurden von Bedrohungsakteuren verwendet.

“La operación no involucró ninguna comunicación del FBI con robots”, agregó el Departamento de Justicia.

Sandworm es un actor de amenazas conocido que trabaja para GRU, la unidad de inteligencia militar rusa. También es conocido como Voodoo Bear y Electrum, y fue responsable de los ataques DDoS en Georgia en 2008, así como del apagón en Ucrania en 2015.

Según la organización no partidista Council on Foreign Affairs, Sandworm se dirige principalmente a los sistemas de control industrial, utilizando una herramienta conocida como Black Energy. Además del espionaje cibernético, el grupo a menudo participa en ataques DoS y se cree que está detrás de la campaña NotPetya de 2017.

El mismo año, criticó a partidos políticos y agencias gubernamentales locales en Francia, incluidas las vinculadas al presidente. Y en 2020, la Agencia de Seguridad Nacional de EE. UU. (NSA) acusó al grupo de atacar los servicios de mensajería de todo el mundo.

«Los actores explotaron a las víctimas usando el software Exim en sus MTA públicos al enviar un comando al campo ‘CORREO DE’ de un mensaje SMTP (Protocolo simple de transferencia de correo)», dijo la NSA en ese momento.

Über TechCrunch (Wird in einem neuen Tab geöffnet)

Teilen Sie es