Estados Unidos y Microsoft asestan duro golpe al ciberfraude ruso confiscando 107 dominios en una ofensiva global
En una importante ofensiva contra el fraude cibernético, Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) anunciaron recientemente la confiscación de 107 dominios de Internet utilizados por cibercriminales patrocinados por el Estado ruso . Esta iniciativa forma parte de una batalla en curso para frenar los ciberataques, en particular los vinculados al robo de información confidencial y el abuso de la confianza digital.
Tabla de contenido
La conexión rusa: los datos de los estadounidenses en la mira
Estos dominios, administrados por actores de amenazas cibernéticas vinculados al gobierno ruso, se utilizaron principalmente para facilitar el fraude y el abuso informático. ¿El objetivo del grupo? Robar información confidencial de los estadounidenses engañando a las víctimas para que revelaran sus credenciales de inicio de sesión a través de cuentas de correo electrónico falsas pero convincentes. La fiscal general adjunta Lisa Monaco declaró: "El gobierno ruso llevó a cabo este plan para robar información confidencial de los estadounidenses, utilizando cuentas de correo electrónico aparentemente legítimas para engañar a las víctimas para que revelaran las credenciales de la cuenta".
Los culpables de estos ciberataques se atribuyen a un grupo conocido como COLDRIVER. Aunque el nombre puede que no te suene de inmediato, el grupo es conocido por diversos alias : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard y más. COLDRIVER, también conocido como TAG-53 y UNC4057, es una unidad operativa del Servicio Federal de Seguridad de Rusia (FSB), activa al menos desde 2012.
Sanciones y creciente presión sobre COLDRIVER
En los últimos años, las fuerzas del orden han aumentado sus esfuerzos contra el grupo. En diciembre de 2023, los gobiernos del Reino Unido y de los Estados Unidos impusieron sanciones a dos de los miembros destacados de COLDRIVER : Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets. Se señaló a estos individuos por su papel en la recolección de credenciales y el lanzamiento de campañas de phishing selectivo, esfuerzos altamente específicos destinados a infiltrarse en los sistemas de funcionarios del gobierno estadounidense, personal militar y organizaciones de la sociedad civil. En junio de 2024, el Consejo Europeo impuso más sanciones, lo que continuó la presión internacional sobre el grupo.
Los dominios: una puerta de entrada a las intrusiones cibernéticas
Entre los 107 dominios confiscados, 41 fueron utilizados principalmente por los atacantes para ejecutar campañas de phishing selectivo contra el gobierno de Estados Unidos. Estas campañas tenían como objetivo cuentas de correo electrónico de alto nivel con el objetivo de robar credenciales y acceder a información valiosa, a menudo clasificada. Esta táctica es una parte clave del manual operativo de COLDRIVER, que combina el sigilo y la ingeniería social para engañar a los usuarios y hacer que pongan en peligro sistemas sensibles.
El Departamento de Justicia señaló que los autores de las amenazas violaron múltiples leyes de acceso a computadoras, incluido el acceso no autorizado a sistemas gubernamentales y computadoras protegidas. Estas acciones maliciosas causaron daños significativos, lo que subraya la naturaleza persistente y cambiante de los delitos cibernéticos modernos.
Acción civil de Microsoft para abordar la red de COLDRIVER
Paralelamente a las incautaciones de dominios, Microsoft tomó medidas legales para neutralizar 66 dominios de Internet adicionales asociados con COLDRIVER. Estos dominios se utilizaron para atacar a más de 30 entidades y organizaciones de la sociedad civil entre enero de 2023 y agosto de 2024, centrándose principalmente en ONG y grupos de expertos que apoyan a empleados gubernamentales, personal militar y funcionarios de inteligencia. Las operaciones del grupo se extendieron por países de la OTAN como el Reino Unido y los EE. UU., con un interés particular en las organizaciones que brindan apoyo a Ucrania, un claro indicador de los objetivos geopolíticos de Rusia.
Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales (DCU) de Microsoft, destacó la gravedad de estas campañas. "Las operaciones de Star Blizzard son implacables y explotan la confianza, la privacidad y la familiaridad de las interacciones digitales cotidianas", remarcó. Destacó que el grupo ha sido especialmente agresivo al apuntar a ex funcionarios de inteligencia, expertos en asuntos rusos e incluso ciudadanos rusos residentes en Estados Unidos.
La búsqueda incesante de datos por parte de COLDRIVER
Desde enero de 2023, Microsoft ha identificado a 82 clientes que han sido blanco de ataques de COLDRIVER, lo que refleja la persistencia del grupo. "Su frecuencia subraya la diligencia del grupo a la hora de identificar objetivos de alto valor, elaborar correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales", añadió Masada. Esta búsqueda incesante demuestra que el grupo está perfeccionando constantemente sus métodos para mantenerse a la vanguardia de las medidas defensivas.
Las víctimas, que a menudo desconocen las intenciones maliciosas que se esconden detrás de estos correos electrónicos de phishing, interactúan sin saberlo con estos mensajes fraudulentos. Como resultado, sus credenciales se ven comprometidas, lo que permite a los cibercriminales acceder a datos confidenciales y redes de alto valor.
Un paso adelante en la lucha contra el cibercrimen
Los esfuerzos conjuntos de Microsoft y el gobierno de Estados Unidos para apoderarse de estos dominios marcan una victoria crucial en la guerra en curso contra los ciberataques patrocinados por los estados. Si bien esta ofensiva interrumpe las operaciones de COLDRIVER por ahora, la historia del grupo sugiere que seguirá evolucionando, por lo que es crucial que los gobiernos, las organizaciones y las personas permanezcan alertas.
La confiscación de estos dominios es solo un paso en un esfuerzo más amplio por proteger la información confidencial, garantizar la confianza digital y exigir responsabilidades a los cibercriminales. A medida que las amenazas cibernéticas siguen evolucionando, no se puede exagerar la importancia de contar con medidas de seguridad sólidas y respuestas globales coordinadas.