Sigue en curso una amplia campaña de malware que, según los expertos, tiene como objetivo perturbar permanentemente a las organizaciones en todo el país y pintar a Ucrania como un estado fallido.
Los ataques cibernéticos representan una operación de malware destructiva coordinada que ya ha afectado a decenas de sistemas en todo el país, según una alerta del Centro de Inteligencia de Amenazas de Microsoft (MCTIC) esta semana.
Los ataques cibernéticos a organizaciones en toda Ucrania comenzaron el 13 de enero, según MCTIC, y según la evaluación del equipo, el malware es un borrador Master Boot Record (MBR ) . El destructor, que Microsoft ha llamado WhisperGate, ya se ha utilizado contra sistemas gubernamentales, organizaciones sin fines de lucro y empresas de TI en Ucrania, advierte el informe.
Los perpetradores se esfuerzan por hacer que los ataques parezcan un ataque de ransomware, e incluso proporcionan una nota de rescate. Sin embargo, la realidad es que "la nota de ransomware es una artimaña y... el malware destruye el MBR y el contenido de los archivos a los que se dirige", según MCTIC. Agregó: "MSTIC evalúa que el malware... tiene la intención de ser destructivo y está diseñado para dejar inoperables los dispositivos específicos en lugar de obtener un rescate".
El equipo espera encontrar víctimas adicionales del ataque como parte de su investigación continua.
“No sabemos la etapa actual del ciclo operativo de este atacante o cuántas otras organizaciones de víctimas pueden existir en Ucrania u otras ubicaciones geográficas”, agregó la alerta de MSTIC. “Sin embargo, es poco probable que estos sistemas afectados representen el alcance total del impacto que informan otras organizaciones”.
Ataques similares a NotPetya, WannaCry
Sobrescribir el MBR, típicamente una opción "nuclear" ( como se vio en el ataque Shamoon de Saudi Aramco de 2012), es atípico para el ransomware ciberdelincuente. Como tal, los expertos supusieron que los actores respaldados por el gobierno probablemente estén detrás de los ataques, que son similares a los ataques anteriores de NotPetya en Ucrania.
Raj Samani, miembro de Trellix y científico jefe, dijo que también hay similitudes adicionales entre esta última ronda de ataques y la campaña WannaCry , que describió como una "naturaleza pseudo-ransomware" similar.
“Hemos identificado indicadores de amenazas dirigidos a una variedad de industrias, incluido el gobierno, los servicios financieros, el transporte y los servicios públicos”, explicó Samani. “Tenemos que reconocer que tales acciones, junto con la imposibilidad de pagar, infieren una campaña destructiva, o incluso una destinada a sembrar el miedo y la histeria”.
Saumitra Das, CTO y fundadora de Blue Hexagon, estuvo de acuerdo en que este tipo de malware destructivo no ofrece una recompensa en efectivo para el delincuente cibernético cotidiano, lo que respalda la teoría del actor respaldado por el estado.
“Las tácticas utilizadas en este ataque parecen centrarse en la interrupción en lugar de en la obtención de dinero”, explicó Das a Threatpost. “Limpiar el MBR, lo que hace que los sistemas se caigan, no es beneficioso para las bandas criminales que buscan ganar dinero rápido, pero es muy efectivo para los estados nacionales como provocación o herramienta utilizada para objetivos más amplios. Por lo general, el malware que extorsiona en función de la interrupción no suele hacer que el sistema deje de funcionar, sino que simplemente lo estrangula”.
Silas Cutler, analista de amenazas de Stairwell, dijo a Threatpost que la cantidad de ransomware falso exigida en los ataques es ridículamente baja para los estándares de la industria, lo que indica además que los ataques nunca fueron por dinero en efectivo.
“La demanda de rescate compartida en su formato original por Microsoft es diferente de las tendencias actuales de ransomware en que la suma es una décima parte de lo que exigirían los grupos sofisticados; y ofrecen formas limitadas de comunicarse con los atacantes”, dijo Cutler. “No está claro en este momento por qué la demanda de rescate es tan baja. Es posible que el actor haya elegido una cantidad arbitrariamente baja con la esperanza de que algunas organizaciones intenten pagar presas del pánico para recuperarse antes de que se hagan públicos los informes y la orientación sobre el malware”.
¿La guerra híbrida de Rusia contra Ucrania?
En cuanto a qué estado-nación puede estar detrás del esfuerzo, Microsoft no atribuye WhisperGate a ningún país específico. Otros no son tan circunspectos.
“Si bien actualmente no se atribuye a ningún grupo de actores conocido o país de origen, Rusia generalmente se considera el principal sospechoso”, dijo Cutler. “El uso informado de malware destructivo, utilizando ransomware como tapadera, es una táctica que se observó anteriormente en ataques rusos contra organizaciones ucranianas, como en el apagón de Ucrania y los ataques de NotPetya en 2015 a 2017”.
Scheherazade Rehman, profesora de Asuntos Internacionales en la Universidad George Washington, explicó a Threatpost que esta demostración de guerra cibernética encaja en la “guerra híbrida” más grande que está librando el gobierno ruso contra Ucrania.
“Rusia quiere que el resto del mundo vea que está planeando una actividad militar significativa en Ucrania y que sus tácticas implican un ataque en todos los frentes: 100.000 tropas y equipo militar se acumulan en la frontera, plantando insurgentes para organizar una 'bandera falsa'. ' y ataques cibernéticos a los sistemas informáticos del gobierno de Kyiv”, dijo el Dr. Rehman a Threatpost.
Agregó que este paso hacia el “desmantelamiento de la infraestructura ucraniana” es parte de la narrativa rusa de que Ucrania es un estado ilegítimo y fallido.
“Aunque no es definitivo, los ataques cibernéticos son casi seguros de Rusia”, dijo Rehman. “Fue un ataque de dos frentes y el más grande en cuatro años”.
La primera vertiente, dijo, fue la violación de la semana pasada de más de 70 sitios del gobierno ucraniano que publicaron un mensaje de desfiguración en ucraniano, ruso y polaco:
“¡Ucranianos! … Toda la información sobre usted se ha hecho pública. Ten miedo y espera lo peor. Es tu pasado, presente y futuro”.
La nota incluía otros mensajes que sugerían que Ucrania es una nación ilegítima, dijo.
Esta ronda de ataques falsos de ransomware parece la segunda vertiente del ataque, agregó Rehman.
“Estos ataques cibernéticos son una parte más importante de la escalada y la intención de Rusia”, dijo. “Las agencias gubernamentales inoperantes ayudarían aún más en el objetivo ruso de mostrar que Ucrania no es un estado soberano legítimo y socavar la capacidad de Ucrania para contraatacar en todos los frentes. Estos ciberataques no solo pretenden intimidar a los ucranianos, sino también desestabilizar y socavar su confianza en el sector público y erosionar la confianza en su propio gobierno”.
Fte: https://threatpost.com/destructive-wiper-ukraine/177768/