En las horas previas a la invasión rusa de Ucrania esta mañana, varios sitios web gubernamentales e instituciones financieras en Ucrania fueron objeto de una serie de ataques de denegación de servicio distribuido (DDoS), que los volvieron inaccesibles en una repetición de un incidente la semana pasada. luego atribuido a actores de amenazas respaldados por el Kremlin.
Un ataque DDoS implica que el sistema de destino sea bombardeado con mensajes entrantes, solicitudes de conexión o paquetes con formato incorrecto para obligarlos a ralentizarse o apagarse. Se realizan rápida y fácilmente y causan daños limitados más allá de la interrupción del servicio. Por esta razón, a veces han sido utilizados por actores de amenazas más sofisticados como cobertura para ciberataques más profundos y destructivos.
En un comunicado, el Servicio Estatal de Comunicación Especial y Protección de la Información de Ucrania dijo: “Hoy, los sitios web de varias instituciones gubernamentales y bancarias han sufrido un ataque DDoS masivo nuevamente. Algunos de los sistemas de información atacados no están disponibles o funcionan de forma intermitente. Esto se debe a cambiar el tráfico a otro proveedor para minimizar el daño. Otros sitios web resisten eficazmente el ataque y funcionan con normalidad.
“Actualmente, el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania y otros sujetos del sistema nacional de seguridad cibernética están trabajando para contrarrestar los ataques, recopilar y analizar información. Pedimos a todas las autoridades que hayan sido atacadas, o que se sospeche que hayan sido atacadas, que se comuniquen con el Equipo de Respuesta a Emergencias Informáticas del Gobierno CERT-UA.
“El Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania continuará informando de inmediato sobre el curso actual de la situación a través de los canales de comunicación oficiales”.
Junto a estos ataques, los investigadores de ESET descubrieron una nueva forma de malware de limpieza en acción en la región, similar al desplegado contra objetivos ucranianos en enero. Los analistas de investigación dijeron que se había instalado en cientos de sistemas en el país.
El binario del limpiaparabrisas se firma con un certificado de firma de código legítimo emitido a Hermetica Digital (posiblemente una empresa ficticia o extinta), y por este motivo ESET y otros lo han denominado conjuntamente HermeticWiper. Abusa de los controladores legítimos del software EaseUS Partition Master para corromper los datos, momento en el que reinicia el sistema.
ESET dijo que en una organización objetivo, HermeticWiper se eliminó a través del GPO predeterminado (política de dominio), lo que significa que los atacantes probablemente se habían apoderado del servidor de Active Directory.
ESET detectó por primera vez a HermeticWiper en la naturaleza alrededor de las 3:00 p. m., hora del Reino Unido, el 23 de febrero, pero la marca de tiempo de compilación en una de las muestras muestra que se remonta al 28 de diciembre de 2021, lo que sugiere que el ataque fue planeado durante mucho tiempo.
Juan Andrés Guerrero-Saade de SentinelOne compiló más detalles técnicos sobre HermeticWiper y se pueden leer aquí.
Chester Wisniewski de Sophos dijo que la última ronda de ataques había sido claramente una señal de que una invasión rusa era inminente. “Oficial de Rusia La Doctrina Militar de la Federación Rusa de 2010 establece: ‘La implementación previa de medidas de guerra de información para lograr objetivos políticos sin la utilización de la fuerza militar y, posteriormente, con el interés de dar forma a una respuesta favorable de la comunidad mundial a la utilización de la fuerza militar’”. él dijo.
“La guerra de información es cómo el Kremlin puede tratar de controlar la respuesta del resto del mundo a las acciones en Ucrania o cualquier otro objetivo de ataque.
“Las banderas falsas, la atribución errónea, las comunicaciones interrumpidas y la manipulación de las redes sociales son componentes clave del manual de guerra de la información de Rusia. No necesitan crear una cobertura permanente para las actividades en el terreno y en otros lugares, simplemente deben causar suficiente retraso, confusión y contradicción para permitir que otras operaciones simultáneas logren sus objetivos”.