Desde a invasão russa à Ucrânia em 24 de fevereiro, o Grupo de Inteligência contra Ameaças da Infoblox observou um aumento acentuado no número de novos nomes de domínio de internet relacionados à Ucrânia. Analisando o tráfego em seus resolvedores de DNS recursivos, houve 200% de aumento de novos domínios comparados à semana anterior ao início dos ataques.

Essa atividade faz parte de uma resposta global à crise humanitária que está acontecendo na Europa Oriental, e parte dessa atividade consiste em novos esforços liderados por grupos anteriormente descoordenados. No entanto, os criminosos cibernéticos também aproveitaram a oportunidade e criaram muitos sites para falsificar ou imitar esforços de suporte genuínos. Distinguir entre esses dois cenários pode ser difícil até mesmo para profissionais de cibersegurança.

Usando sua experiência em DNS, a Unidade de Inteligência Cibernética da Infoblox descobriu alguns golpes cibernéticos que visam beneficiar os ucranianos afetados pela invasão. Veja este blog para mais detalhes. O blog observa que houve crescimento na quantidade de domínios relacionados à Ucrânia desde que o conflito teve início. Este aumento incluiu sites legítimos e fraudulentos.

O Grupo de Inteligência contra Ameaças da Infoblox encontrou indicadores de comprometimento (IoCs) relacionados a atividades que vão desde campanhas de malware até indivíduos fazendo novos esforços para coordenar a entrega de suprimentos médicos para a Ucrânia. O objetivo final mais prevalente para esses golpes é coletar criptomoedas.

A Dra. Renee Burton, Diretora Sênior de Inteligência de Ameaças da Infoblox, e ex integrante do Departamento de Defesa dos EUA alerta: “Esses golpes cibernéticos mostram que os cibercriminosos prestam atenção às notícias e estão respondendo rapidamente para tirar proveito. Vários sites de socorro falsos foram ativados um dia após a invasão. Vários domínios foram registrados nas semanas anteriores, indicando planejamento por parte deles. Embora a criptomoeda tenha sido o tipo de doação preferido, os atores também solicitaram contribuições de cartão de crédito e contas bancárias. Na campanha do Agente Tesla, os maus atores estão usando a crise para roubar credenciais de usuários e informações financeiras.”

Usando esses IoCs, a Infoblox compilou uma lista de sites, indivíduos e organizações que desejam apoiar causas humanitárias na Ucrânia ou fazer parte de esforços locais para acabar com a guerra devem ter muita cautela ao interagir com sites relacionados a esses esforços.

Alguns desses sites podem servir como frentes fraudulentas para operações de inteligência ou operações de crimes cibernéticos. Eles podem colocar spyware em dispositivos e coletar informações de identificação pessoal (PII).

Antes de fornecer informações pessoais ou financeiras para esses tipos de sites, verifique uma fonte estabelecida que identifique a organização e seu domínio de hospedagem. Para Sandro Tonholo, country manager da Infoblox no Brasil, o momento pede atenção: “Nós estamos sempre atentos a domínios de internet e conteúdos maliciosos. Sabemos que neste momento de incerteza e angústia as pessoas tendem a agir mais pela emoção. Fica nossa sugestão: caso você não tenha uma solução como a da Infoblox, que inspecione e bloqueie acessos a domínios de internet com conteúdos maliciosos, na dúvida, não clique! Lembre-se de que o maior ativo da atualidade são seus dados - o roubo de dados e as fraudes estão acontecendo com mais frequência do que nunca.