Ciberataques contra sitios web del gobierno ucraniano y organizaciones afiliadas se sumaron el jueves a la confusión provocada por el asalto militar ruso, entre ellos un software malicioso de borrado de datos activado un día antes que, según investigadores de ciberseguridad, infectó cientos de computadoras, incluso en las vecinas Letonia y Lituania.
Los investigadores dijeron que el ataque de malware aparentemente se había estado preparando desde hace tiempo, hasta tres meses.
La severa oleada de ataques de denegación de servicio (DDoS, por sus siglas en inglés), que comenzó la semana pasada y congeló temporalmente los sitios web del gobierno el miércoles, continuaba parcialmente el jueves y hubo apagones esporádicos de internet en todo el país, informó Doug Madory, director de análisis de internet de Kentik Inc., una firma estadounidense de manejo de redes.
Sin embargo, las medidas para mitigar los ataques DDoS estaban teniendo cierto éxito el jueves, pues era posible acceder ya a los principales sitios web gubernamentales, incluidos los de los ministerios de Defensa y del Interior. Los gobiernos de Estados Unidos y sus aliados culparon rápidamente de los ataques de DDoS a la agencia rusa de inteligencia militar GRU después de que comenzaron la semana pasada.
Dichos ataques hacen que los sitios web sean inaccesibles al inundarlos con datos basura.
Importantes sitios web rusos también sufrieron ataques de denegación de servicio el jueves, agregó Madory, posiblemente en represalia por los ataques DDoS similares a los sitios web ucranianos.
Como resultado, los sitios del ejército ruso (mil.ru) y del Kremlin (kremlin.ru), alojados en la red estatal de internet de Rusia, eran inaccesibles o tardaban en cargarse. Madory detalló que un bloque completo de dominios de internet que alojan sitios de kremlin.ru estaba bajo ataque.
Saturación en líneas y redes celulares
La agencia de ciberseguridad de Ucrania dijo que las redes celulares estaban saturadas con llamadas de voz y sugirió a los usuarios que no pudieran hacerlas que usaran mensajes de texto.
Madory dijo que el internet en Ucrania estaba “bajo un estrés severo en este momento”. Algunos expertos en ciberseguridad dijeron antes del ataque que podría ser conveniente para la inteligencia —y la guerra de desinformación del Kremlin— no tratar de derribar el internet en Ucrania durante un ataque militar.
El servicio de ciberseguridad de Ucrania también publicó una lista en su canal Telegram de canales conocidos de “desinformación activa” que debían evitarse.
No estaba claro cuántas redes se vieron afectadas por el borrado de datos nunca antes visto, dirigido a organizaciones de las industrias financiera, de defensa, de aviación y de tecnología de la información, precisó el jueves Symantec Threat Intelligence en un blog.
ESET Research Labs dijo antes que el miércoles detectó un nuevo programa malicioso de borrado de datos en “cientos de máquinas en el país”, pero que no estaba claro cuántas redes se vieron afectadas.
“En cuanto a si el malware tuvo éxito en su capacidad de borrar, suponemos que efectivamente fue así y se borraron las máquinas afectadas”, afirmó el jefe de investigación de ESET, Jean-Ian Boutin, que no quiso identificar a los objetivos, pero apuntó que se trataba de “organizaciones grandes”.
ESET no pudo confirmar quién estaba detrás de las acciones.
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
— ESET research (@ESETresearch) February 23, 2022
Ataques DDoS
Los funcionarios ucranianos esperaban desde hace tiempo que los ciberataques precedieran y acompañaran a cualquier incursión militar rusa. La combinación de ataques DDoS, que bombardean las webs con tráfico falso para hacerlas inaccesibles, y las infecciones con malware se ajustan al manual de operaciones ruso, de combinar las operaciones en internet con las agresiones en el mundo real.
Symantec dijo que el borrado de datos descubierto el miércoles era similar a un ataque con malware a mediados de enero en el cual se usó malware de borrado disfrazado de ransomware, otro un programa informático malicioso que bloquea una computadora exigiendo el pago de un rescate para liberar los datos.
Symantec detectó tres organizaciones afectadas por el malware de borrado: contratistas del gobierno ucraniano en Letonia y Lituania, y una institución financiera en Ucrania, informó Vikram Thakur, director técnico de la firma. Ambos países forman parte de la OTAN.
“Los atacantes han ido a por estos objetivos sin importarles mucho dónde pudieran estar ubicados físicamente”, añadió.
Computadoras afectadas por malware
Los tres tenían “una estrecha relación con el gobierno de Ucrania”, informó Thakur, agregando que Symantec cree que los ataques fueron “totalmente dirigidos”. Además, apuntó que unas 50 computadoras de la organización financiera se vieron afectadas por el malware, algunas con borrado de datos.
Cuando se le preguntó por este ataque de borrado el miércoles, un alto funcionario de ciberdefensa ucraniano, Victor Zhora, dijo que no tenía comentarios.
“Es probable que Rusia haya estado planeando esto desde hace meses, por lo que es difícil decir cuántas organizaciones o agencias han sido infiltradas en preparación de estos ataques”, afirmó Chester Wisniewski, investigador principal de la empresa de ciberseguridad Sophos.
Teorizó que, con el malware, el Kremlin pretendía “enviar el mensaje de que han comprometido una porción significativa de la infraestructura ucraniana y que estos son únicamente pequeños bocados para mostrar lo omnipresente que es su penetración”.
Los ciberataques han sido un arma clave de la agresión rusa en Ucrania desde antes de 2014, cuando el Kremlin se anexó la península ucraniana de Crimea y los hackers intentaron frustrar las elecciones. También se utilizaron contra Estonia en 2007 y Georgia en 2008. Su intención puede ser sembrar el pánico, confundir y distraer.
Los ataques de denegación de servicio se encuentran entre los menos graves porque no implican una intrusión en la red.
Le puede interesar: Lo que se sabe de la que podría ser la peor guerra desde principios del siglo.