Microsoft advierte de un limpiador de disco destructivo dirigido a Ucrania
imágenes falsas
Las tensiones geopolíticas se han intensificado en los últimos meses, ya que Rusia reunió a decenas de miles de tropas a lo largo de la frontera de Ucrania y emitió amenazas sutiles pero de gran alcance si Ucrania y la OTAN no cumplían con las demandas del Kremlin.
Ahora, una disputa similar se está desarrollando en las arenas cibernéticas, ya que piratas informáticos desconocidos desfiguraron numerosos sitios web del gobierno ucraniano a fines de la semana pasada y dejaron una advertencia críptica a los ciudadanos ucranianos que intentaban obtener servicios.
Ten miedo y espera lo peor
«Todos los datos de la computadora serán destruidos, es imposible recuperarlos», dice un mensaje en ucraniano, ruso y polaco que apareció en al menos algunos de los sistemas infectados a fines de la semana pasada. «Toda la información sobre ti se ha hecho pública, ten miedo y espera lo peor».
Casi al mismo tiempo, Microsoft dijo en una publicación durante el fin de semana que el malware «destructivo» con la capacidad de destruir permanentemente las computadoras y todos los datos almacenados en ellas comenzó a aparecer en las redes de docenas de organizaciones gubernamentales, sin fines de lucro y de TI, todas ellas que con sede en Ucrania. El malware, Microsoft lo llama Whispergate, se disfraza de ransomware y exige $ 10,000 en bitcoins para recuperar los datos.
Pero Whispergate carece de los medios para distribuir claves de descifrado y brindar soporte técnico a las víctimas, rasgos que se encuentran en prácticamente todos los ransomware en funcionamiento implementados en la naturaleza. También sobrescribe el Registro de arranque maestro, una parte del disco duro que inicia el sistema operativo durante el arranque.
«Sobrescribir el MBR es atípico para el ransomware cibercriminal», escribieron miembros del Centro de Inteligencia de Amenazas de Microsoft en una publicación el sábado. “En realidad, la nota de ransomware es un truco y el malware destruye el MBR y el contenido de los archivos objetivo. Hay varias razones por las que esta actividad no coincide con la actividad de ransomware ciberdelincuente observada por MSTIC”.
Durante el fin de semana, Serhiy Demedyuk, subjefe del Consejo de Defensa y Seguridad Nacional de Ucrania, dijo a los medios de comunicación que los resultados preliminares de una investigación conjunta de varias agencias estatales ucranianas muestran que un grupo de actores de amenazas denominado UNC1151 probablemente esté detrás del ataque de desfiguración. El grupo, que los investigadores de la firma de seguridad Mandiant vincularon con el gobierno del aliado ruso Bielorrusia, estaba detrás de una campaña de influencia llamada Ghostwriters.
Ghostwriter trabajó con correos electrónicos de phishing y dominios robados falsificando sitios web legítimos como Facebook para robar las credenciales de las víctimas. Con el control de los sistemas de gestión de contenido pertenecientes a sitios de noticias y otros objetos de alto tráfico, UNC1151 «promovió principalmente narrativas anti-OTAN aparentemente destinadas a socavar la cooperación de seguridad regional en operaciones contra Lituania, Letonia y Polonia», escribieron los autores del informe Mandiant.
Toda la evidencia apunta a Rusia
Los funcionarios ucranianos dijeron que UNC1151 probablemente estaba trabajando para Rusia, ya que utilizó sus habilidades de recopilación de credenciales e infiltración de sitios web para desfigurar las páginas del gobierno de Ucrania. En un comunicado escribieron:
A partir de ahora, podemos decir que todas las pruebas apuntan a que Rusia está detrás del ciberataque. Moscú continúa librando una guerra híbrida y está construyendo activamente fuerzas en la información y el ciberespacio.
Las tropas cibernéticas de Rusia a menudo trabajan contra Estados Unidos y Ucrania, tratando de usar la tecnología para sacudir la situación política. El reciente ataque cibernético es una de las manifestaciones de la guerra híbrida de Rusia contra Ucrania, que ha estado en curso desde 2014.
Su objetivo no es solo intimidar a la sociedad. Y para desestabilizar la situación en Ucrania cerrando el trabajo del sector público y socavando la confianza de los ucranianos en el gobierno. Pueden lograr esto arrojando al espacio de información falsificaciones sobre la vulnerabilidad de la infraestructura de información crítica y la «fuga» de datos personales de los ucranianos.
evaluación de daños
No hubo informes inmediatos de que la desfiguración tuviera un efecto destructivo en las redes gubernamentales, aunque Reuters informó el lunes que la policía cibernética de Ucrania descubrió que la desfiguración de la semana pasada parecía haber destruido «recursos de información externos».
«Algunos recursos de información externos fueron destruidos manualmente por los atacantes», dijo la policía, sin dar más detalles. La policía agregó: «Ya se puede argumentar que el ataque es más complejo que alterar la página de inicio de los sitios web».
Mientras tanto, Microsoft no ha dicho si el borrador de datos destructivo que encontró en las redes ucranianas simplemente se instaló para un posible uso posterior o si en realidad se estaba ejecutando para causar estragos.
No hay evidencia de que el gobierno ruso estuviera involucrado en el malware del limpiaparabrisas o en la desfiguración del sitio, y los funcionarios rusos lo han negado rotundamente. Sin embargo, dados los eventos pasados, la participación rusa no sería una sorpresa.
En 2017, un brote masivo de malware, que inicialmente se pensó que era ransomware, paralizó computadoras en todo el mundo y causó daños por un total de $ 10 mil millones, lo que lo convirtió en el ataque cibernético más costoso de todos los tiempos.
NotPetya se difundió por primera vez a través de un módulo de actualización legítimo de MEDoc, una aplicación de contabilidad fiscal ampliamente utilizada en Ucrania. Ambos ucranianos
y funcionarios del gobierno estadounidense han dicho que Rusia estaba detrás de los ataques. En 2020, los fiscales federales acusaron a cuatro ciudadanos rusos de presuntos delitos de piratería relacionados con NotPetya.
