Se descubrió malware malicioso que se hace pasar por ransomware en varios sistemas informáticos en Ucrania luego de un ataque de piratería el viernes que apuntó a más de 70 sitios web gubernamentales.
Los piratas informáticos explotaron una vulnerabilidad conocida en un sistema de administración de contenido utilizado por agencias gubernamentales y otras organizaciones para desfigurar sitios web con mensajes amenazantes escritos en ucraniano, polaco y ruso.
El gobierno ucraniano culpó a un grupo de piratas informáticos con influencia rusa por desfigurar los sitios web del gobierno con mensajes que advierten a los ucranianos “que esperen lo peor”.
Pero durante el fin de semana se supo que los ataques del viernes parecían haber sido un ejercicio de distracción para desviar la atención del malware más serio implantado en los sistemas informáticos comerciales y del gobierno de Ucrania.
Microsoft reveló durante el fin de semana que había detectado “malware destructivo” en docenas de sistemas informáticos pertenecientes a agencias y organizaciones ucranianas, incluidas empresas de TI, que trabajan en estrecha colaboración con el gobierno ucraniano.
El malware, detectado por primera vez el 13 de enero de 2020, se hace pasar por ransomware, pero está diseñado para destruir información en los sistemas informáticos infectados sin ofrecer a las víctimas la capacidad de recuperar los datos a cambio del pago de un rescate.
Microsoft escribió en una publicación de blog: “No sabemos la etapa actual del ciclo operativo de este atacante o cuántas otras organizaciones de víctimas existen en Ucrania u otras ubicaciones geográficas. Sin embargo, es poco probable que estos sistemas afectados [discovered by Microsoft] representan el alcance completo del impacto”.
El ataque se produce en un momento de mayor tensión geopolítica entre Rusia y Occidente tras las advertencias de los gobiernos occidentales de que los ciberataques podrían ser precursores de una acción militar por parte de Rusia, que ha colocado 100.000 soldados en la frontera con Ucrania.
influencia rusa
La viceprimera ministra de Ucrania, Olha Stefanishyna, hablando en BBC World News, dijo que creía que había una “sombra de influencia rusa” detrás de los ataques cibernéticos que afectan al país. “Los ataques cibernéticos están ocurriendo a diario en sitios web de Ucrania de carácter regional y central”, dijo.
Jan Psaki, secretario de prensa de la Casa Blanca, dijo el sábado que Rusia estaba planeando una operación de “bandera falsa” en el este de Ucrania contra las fuerzas rusas como pretexto para una acción militar.
Dijo que Rusia había intensificado la difusión de “información errónea” en las redes sociales para culpar a Occidente por la escalada de tensión, para defender la intervención rusa en Ucrania por motivos humanitarios y para alentar el apoyo interno a la acción militar.
“El contenido en ruso en las redes sociales que cubre estas tres narrativas aumentó a un promedio de casi 3500 publicaciones por día, un aumento del 200 % con respecto al promedio diario en noviembre”, dijo Psaki.
Bielorrusia acusada de piratería
Kiev dijo a Reuters que culpó de los ataques de la semana pasada a UNC1151, un grupo de ciberespionaje respaldado por Rusia vinculado a Bielorrusia, un aliado cercano de Rusia.
Serhiy Demedyuk, subsecretario del consejo de defensa y seguridad nacional, dijo a la agencia de noticias que los ataques de desfiguración del viernes fueron una tapadera para acciones más destructivas tras bambalinas.
Según Microsoft, el malware descubierto en los sistemas informáticos ucranianos la semana pasada tiene la capacidad de sobrescribir el registro de arranque maestro de los sistemas infectados, cuando se activa. Está diseñado para sobrescribir archivos del sistema y cambiar el nombre de los archivos con cadenas aleatorias de letras.
La compañía dijo que el malware, que entrega una nota de ransomware falsa, representaba “un riesgo elevado para cualquier agencia gubernamental, sin fines de lucro o empresa” con sistemas informáticos en Ucrania.
Exploit sin parches
Los ataques de desfiguración del viernes explotaron versiones sin parches del sistema de gestión de contenido “October CMS” desarrollado por la empresa de software ucraniana Kitsoft.
La empresa de TI con sede en Kiev suministró su sistema de gestión de contenido a agencias y organizaciones gubernamentales en Ucrania.
La vulnerabilidad, que se hizo pública en agosto de 2021, permitió a los atacantes solicitar un restablecimiento de contraseña y luego obtener acceso a la cuenta mediante una solicitud especialmente diseñada.
La falla requería poco conocimiento o habilidad para explotar y proporcionó a los piratas informáticos una capacidad limitada para modificar archivos o información, según una divulgación pública.
La evaluación da peso a la teoría de que es probable que el ataque haya sido una tapadera para otros ataques cibernéticos más peligrosos contra la infraestructura ucraniana.
Una “corrección” publicada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT) aconseja a los usuarios que actualicen el CMS de octubre a la última versión del software.
Oleksandr Iefremov, CEO de Kitsoft, dijo en un comunicado a Computer Weekly que los piratas informáticos habían interrumpido los sitios web desarrollados por Kitsoft y otras compañías de TI.
Además de los 70 sitios afectados, también se vieron afectados otros 20 sitios que usaban software de otros proveedores, incluido el poder judicial de Ucrania, un servidor de nombres de dominio del gobierno, un sitio para solicitar licencias de conducir, un sitio educativo y otros.
Iefremov dijo que el sitio corporativo de la empresa no utiliza el CMS de octubre, pero Kitsoft había tomado la decisión de cerrar su infraestructura debido al ataque.
“La infraestructura de Kitsoft también resultó dañada durante el ataque de los piratas informáticos”, dijo. “Nuestros especialistas lo han identificado como uno de los vectores de ataque. El hackeo fue una operación compleja, con varios vectores paralelos”.
La compañía dijo por separado que había probado vulnerabilidades y errores y actualizaciones de software en los sitios web que admite, pero no todos sus clientes tienen contratos de soporte.
Ataque a la cadena de suministro
El Servicio de Seguridad de Ucrania confirmó que “los piratas informáticos explotaron una vulnerabilidad específica”, un sistema de gestión de contenido utilizado por el gobierno, pero no nombró a Kitsoft.
“Podemos decir con alta probabilidad que hubo un llamado ataque a la cadena de suministro”, dijo en un comunicado. “Los atacantes piratearon la infraestructura de una empresa comercial que tenía acceso a los derechos para administrar los recursos web afectados por el ataque”.
Los piratas informáticos desfiguraron los sitios web del gobierno el viernes con mensajes escritos en tres idiomas.
Se refirieron a incidentes en la historia de Ucrania, incluida la anexión de Volyn, anteriormente parte de Polonia, a Ucrania en 1939, lo que llevó a la deportación de miles de polacos a campos de trabajo siberianos.
El análisis de la versión polaca del mensaje del hacker reveló que no fue escrito por un hablante nativo de polaco. Los comentaristas dijeron que parecía ser un intento burdo de culpar a Polonia por la operación de piratería.
Los mensajes decían: “¡Ucraniano! Todos sus datos personales han sido subidos a la red pública. Todos los datos en la computadora se destruyen, es imposible recuperarlos. Toda la información sobre ti se ha hecho pública, ten miedo y espera lo peor”.
Ataque al Banco Nacional fallido
El Banco Nacional de Ucrania informó el viernes que su sitio web había sido objeto de intentos de ataques por parte de personas de todo el mundo, pero el ataque no tuvo éxito y todos los sistemas, incluido el sistema de pago electrónico nacional, las computadoras internas del banco y el sitio web oficial, estaban dañados. trabajando normalmente.
“A raíz de un ataque de piratas informáticos en varios sitios web del gobierno, el Banco Nacional insta a los bancos y otros actores del sector financiero a intensificar las medidas de seguridad para contrarrestar posibles ataques cibernéticos”, dijo en un comunicado.
Guerra híbrida
El Centro de Comunicación Estratégica, un organismo del gobierno ucraniano que tiene como objetivo contrarrestar la desinformación de Rusia y otros lugares, afirmó en una publicación de blog que el ataque forma parte de una campaña que continúa desde 2014.
Dijo que la línea de tiempo de los informes de noticias sobre el ataque, que apareció por primera vez en los canales de desinformación, seguidos por las publicaciones rusas, indicaba la participación rusa.
“Las tropas cibernéticas de Rusia a menudo trabajan contra Estados Unidos y Ucrania, tratando de usar la tecnología para sacudir la situación política”, dijo. “El último ataque cibernético contra Ucrania es una de las manifestaciones de la guerra híbrida contra nuestro estado”.
El centro dijo que esperaba que las operaciones de piratería de la semana pasada fueran seguidas por ataques “falsos” a la infraestructura nacional crítica del país. “Su objetivo es desestabilizar la situación en Ucrania deteniendo el trabajo del sector público y socavando la confianza del gobierno por parte de los ucranianos”, dijo.
Los datos sobre los ciudadanos ucranianos no han sido puestos en riesgo por los ataques y están protegidos en bases de datos gubernamentales seguras, agregó.
La OTAN, la Unión Europea y Estados Unidos han ofrecido apoyo técnico a Ucrania tras el ataque.
El CEO de Kitsoft, Iefremov, dijo a Computer Weekly que la prioridad de la empresa era “restaurar los recursos del estado lo antes posible e instalar elementos adicionales de protección de la infraestructura”.