Tras la invasión de Rusia a Ucrania el pasado 25 de febrero y el comienzo de los ataques por parte de las Fuerzas Armadas Rusas, los expertos en ciberseguridad de Sophos continúan monitorizando y actualizando sus alertas y recomendaciones sobre los ciberataques que se están produciendo en el ciberespacio. Chester Wisniewski, investigador principal de Sophos, ha realizado un análisis de los principales ciberataques en los últimos días.
Índice de temas
Cronología de una guerra en las redes
El 23 de febrero de 2022, alrededor de las 16:00 hora local en Ucrania, se desató otra ola de ataques DDoS contra el Ministerio de Asuntos Exteriores, el Ministerio de Defensa, el Ministerio del Interior, el Gabinete de Ministros y el Servicio de Seguridad de Ucrania. Las interrupciones duraron unas dos horas y hasta ahora no se han atribuido a nadie. ESET y Symantec informaron del despliegue de un nuevo wiper del sector de arranque aproximadamente a las 17:00 hora local, que se produjo precisamente en medio de este ataque DDoS. Parece haber afectado a un pequeño número de empresas relacionadas con finanzas y los contratistas del gobierno ucraniano. Symantec informó de que hubo algunos efectos en ordenadores de Letonia y Lituania, probablemente oficinas remotas de empresas ucranianas.
A las 02:00 hora local del 24 de febrero de 2022, los sitios web del Gabinete de Ministros de Ucrania y los de los Ministerios de Asuntos Exteriores, Infraestructuras y Educación, entre otros, eran inaccesibles, según la CNN. A las 06:00 hora local del 24 de febrero de 2022, parecían funcionar con normalidad.
El 25 de febrero de 2022, el conflicto había pasado de los ataques puramente cibernéticos a una guerra terrestre, y estamos viendo actividad de actores no estatales que podrían causar perturbaciones e impactos adicionales fuera de la zona de conflicto. En primer lugar, una cuenta de Twitter que representaba a Anonymous, el grupo de hacktivistas asociado libremente, declaró la ciberguerra contra el gobierno ruso. Unas horas más tarde, el prolífico grupo de ransomware, Conti, publicó un mensaje en su site de la dark web declarando su “pleno apoyo al gobierno ruso”.
Ambas declaraciones aumentan el riesgo para todas las partes, estén o no involucrados en este conflicto. Los ataques de justicieros en cualquier dirección aumentan la “niebla de la guerra” y generan confusión e incertidumbre para todos. La probabilidad de que otros grupos criminales asentados en el teatro de operaciones ruso intensifiquen los ataques contra los aliados de Ucrania parece alta.
A las 20:00h del 25 de febrero, Conti había eliminado su declaración anterior, que parece haber sido demasiado beligerante con el Gobierno de Estados Unidos. La nueva declaración ha rebajado un poco el tono, sugiriendo que sólo podrían “devolver el golpe” en respuesta a la ciberagresión estadounidense.
Anonymus entra en juego
Anonymous no es tanto un grupo y más una idea. Históricamente ha inspirado a la gente a realizar actos de vigilancia en nombre de los agraviados y oprimidos. Como resultado, siempre que hay señales de éxito, están ahí para atribuirse el mérito de la acción. Ya sea un ataque de Denegación de Servicio Distribuido (DDoS), una filtración de datos o el hackeo de la cuenta de quien ellos perciben como el villano.
Lo inusual de la situación en Ucrania es que tanto el viceprimer ministro ucraniano como un alto consejero del Parlamento de la UE han alentado este comportamiento y han pedido que esta actividad se produzca fuera de los marcos legales normales. Se trata de una situación sin precedentes. Se trata, literalmente, de una invitación en relieve de oro colocada sobre una alfombra roja que invita a Anonymous a volver.
El riesgo aquí es la escalada. Puede parecer una buena idea, pero si esto anima o incita a los grupos de piratas informáticos con base en Rusia a decidir tomar represalias contra los activos occidentales, podría conducir a miles de millones de dólares en daños a la infraestructura occidental, empresas y entidades gubernamentales. Hasta ahora, la mayoría de los ciberdelincuentes rusos han continuado con su actividad habitual y no han escalado ni parecen intentar aumentar sus ataques a infraestructuras críticas, pero eso podría cambiar fácilmente si cuentan con el apoyo del Estado ruso.
La ingeniería social, un arma más
Durante el fin de semana del 26 y 27 de febrero ocurrieron varias cosas. En la tarde del sábado 26 de febrero, Mykhallo Federov, viceprimer ministro de Ucrania y ministro de Transformación Digital, envió un tuit en el que imploraba a las personas con conocimientos cibernéticos que se unieran a un ejército virtual de TI para ayudar a Ucrania a atacar los activos rusos en represalia por los ciberataques que Rusia ha perpetrado supuestamente contra Ucrania. Un mensaje del “ejército informático” en una plataforma de mensajes incluía una lista de 31 objetivos para que los partidarios atacaran.
Mucha gente quiere apoyar a Ucrania, pero aconsejamos no hacer algo así. A menos que alguien esté trabajando directamente en nombre de un Estado-nación, es probable que se esté cometiendo un delito grave.
Además, un investigador de ciberseguridad en la frontera entre Ucrania y Rumanía informó de que los sistemas de control fronterizo de Ucrania habían sido atacados con un malware limpiador para interrumpir la salida de los refugiados.
Por su parte, el grupo de ransomware Lockbit 2.0. publicó un comunicado en su página de la dark web, afirmando que nunca atacará la infraestructura crítica de ningún país y que no está tomando partido en el conflicto. Afirman que sólo son un grupo diverso de ‘pentesters’, y que sólo es un negocio: “todo lo que hacemos es proporcionar formación pagada a los administradores de sistemas de todo el mundo sobre cómo configurar correctamente una red corporativa”. La declaración se publicó en ocho idiomas junto a dos imágenes JPEG de la tierra.
El lunes 28 de febrero, se produjeron nuevas supuestas filtraciones, y las facciones eligieron bandos. Partidarios hacktivistas de Ucrania hackearon estaciones de recarga de coches eléctricos para mostrar mensajes ofensivos contra el presidente Putin.
Un investigador ucraniano filtró públicamente las comunicaciones internas del grupo de ransomware Conti. Nos enteramos de que el monedero principal de Bitcoin del grupo ha acumulado más de 2.000.000 de dólares depositados en los últimos dos años y que la lealtad es mucho menos frecuente en la clandestinidad criminal que entre el resto de nosotros.
¿Las buenas noticias hasta ahora? Los rusos no han utilizado los ciberataques para destruir o interrumpir los servicios básicos en Ucrania. El malware y la ciberdestrucción han sido mínimos. Sin embargo, no debemos dormirnos en los laureles. Es poco probable que esta situación se resuelva por sí misma de manera que disminuya el riesgo de ataques online.