Docenas de equipos informáticos en agencias del gobierno ucraniano resultaron con un malware destructivo disfrazado de ransomware, según reveló Microsoft el sábado por la noche. La noticia sugirió que un ataque llamativo que secuestró sitios web oficiales del gobierno ucraniano había sido una distracción. El alcance de los daños no estaba claro en un primer momento.
El ataque se produjo mientras persiste la amenaza de una invasión rusa en Ucrania, y con los esfuerzos diplomáticos para reducir la tensión aparentemente estancada.
- Te recomendamos Microsoft lanza nuevas funciones de Teams y Viva para personal de primera línea Negocios
En una breve entrada en un blog, equivalente a una alarma en el sector, Microsoft dijo haber detectado por primera vez el software malicioso el jueves. Eso coincidiría con el ataque que dejó fuera de servicio unas 70 webs del gobierno de forma temporal.
Un responsable ucraniano de seguridad indicó a Reuters que el ataque a los sitios web había servido de cobertura a un ataque malicioso.
Por otro lado, un importante ejecutivo privado del sector de la ciberseguridad en Kiev dijo a The Associated Press cómo había tenido éxito el ataque: Los intrusos habían accedido a las redes del gobierno a través de un proveedor de software compartido en un ataque conocido como de cadena de suministro, similar a la operación rusa de ciberespionaje SolarWinds realizada en 2020 contra el gobierno estadunidense.
En otro post técnico, Microsoft dijo que los sistemas afectados “incluyen a varias organizaciones del gobierno, sin fines de lucro y de tecnologías de la información”. La firma dijo desconocer cuántas organizaciones de Ucrania u otros lugares podrían haberse visto afectadas, pero que esperaba tener noticias de más infecciones.
“El malware está disfrazado como ransomware, pero si el agresor lo activa dejaría inoperable el sistema informático infectado”, indicó Microsoft. En otras palabras, no tiene un mecanismo de recuperación tras el pago de un rescate.
El software malicioso “se ejecuta cuando un dispositivo asociado se apaga”, una reacción inicial habitual a un ataque de ransomware, un tipo de ataque en el que los agresores inutilizan un dispositivo y exigen el pago de un rescate para liberar el equipo y la información que contiene.
Microsoft dijo que aún no había podido calibrar la intención de la actividad destructiva o asociar el ataque con una amenaza conocida. El funcionario ucraniano de seguridad citado por Reuters, el subsecretario del Consejo de Defensa y Seguridad Nacional Serhiy Demedyuk, dijo que los agresores habían utilizado un malware similar al utilizado por los servicios rusos de inteligencia.
Tras una investigación preliminar, el Servicio Ucraniano de Seguridad atribuyó el ataque a las webs a “grupos de hackers asociados con los servicios rusos de inteligencia”. Moscú ha negado varias veces estar implicado en ciberataques contra Ucrania.
La tensión con Rusia se ha mantenido alta en las últimas semanas, después de que Moscú acumulara unos 100 mil soldados junto a la frontera con Ucrania. Los expertos esperan que cualquier invasión fuera acompañada de un componente informático, integrado en el modelo “híbrido” de los conflictos armados modernos.
En declaraciones por escrito, Demedyuk dijo a Reuters que el ataque a los sitios web “sólo era una cobertura para acciones más destructivas que se estaban realizando en un segundo plano, y cuyas consecuencias sentiremos en un futuro cercano”. El reporte no entró en detalles, y en un primer momento no fue posible contactar con Demedyuk para pedir comentarios.
Oleh Derevianko, un importante experto de seguridad privada y fundador de la firma de seguridad ISSP, dijo a AP que desconocía la gravedad de los daños. Señaló que tampoco se sabía qué más podrían haber logrado los atacantes tras acceder a KitSoft, el desarrollador al que habían accedido para distribuir el software.
Rusia atacó Ucrania en 2017 con uno de los ciberataques más dañinos de los que se tiene registro. El virus NotPetya causó más de 10 mil millones de dólares en daños en todo el mundo. Ese virus, que también se disfrazaba de ransomware, era un tipo de software conocido como “wiper” que borra redes enteras.
Ucrania ha tenido la mala fortuna de ser el campo de pruebas del mundo para el ciberconflicto. Piratas informáticos con respaldo de Rusia casi desbarataron las elecciones nacionales de 2014 y paralizaron brevemente parte de su red eléctrica en los inviernos de 2015 y 2016.
En el ataque del viernes contra sitios web, los agresores dejaron un mensaje en el que decían haber destruido datos y haberlos publicado en internet, algo que según las autoridades ucranianas no había ocurrido.
El mensaje decía a los ucranianos que “tengan miedo y esperen lo peor”.
Profesionales ucranianos de ciberseguridad llevan fortificando las defensas de su infraestructura crítica de 2017, con más de 40 millones de dólares en asistencia estadunidense. Están especialmente preocupados por los ataques rusos contra la red eléctrica, la red ferroviaria y el banco central.
FS