Ciberataques contra sitios web del gobierno ucraniano y organizaciones afiliadas se sumaron el jueves a la confusiĆ³n provocada por el asalto militar ruso, entre ellos un software malicioso de borrado de datos activado un dĆa antes que, segĆŗn investigadores de ciberseguridad, infectĆ³ cientos de computadoras, incluso en las vecinas Letonia y Lituania.
Los investigadores dijeron que el ataque de malware aparentemente se habĆa estado preparando desde hace tiempo, hasta tres meses.
Sitios web congelados temporalmente
La severa oleada de ataques de denegaciĆ³n de servicio (DDoS, por sus siglas en inglĆ©s), que comenzĆ³ la semana pasada y congelĆ³ temporalmente los sitios web del gobierno el miĆ©rcoles, continuaba parcialmente el jueves y hubo apagones esporĆ”dicos de internet en todo el paĆs, informĆ³ Doug Madory, director de anĆ”lisis de internet de Kentik Inc., una firma estadounidense de manejo de redes.
Sin embargo, las medidas para mitigar los ataques DDoS estaban teniendo cierto Ʃxito el jueves, pues era posible acceder ya a los principales sitios web gubernamentales, incluidos los de los ministerios de Defensa y del Interior. Los gobiernos de Estados Unidos y sus aliados culparon rƔpidamente de los ataques de DDoS a la agencia rusa de inteligencia militar GRU despuƩs de que comenzaron la semana pasada.
Dichos ataques hacen que los sitios web sean inaccesibles al inundarlos con datos basura.
Importantes sitios web rusos tambiĆ©n sufrieron ataques de denegaciĆ³n de servicio el jueves, agregĆ³ Madory, posiblemente en represalia por los ataques DDoS similares a los sitios web ucranianos.
Como resultado, los sitios del ejĆ©rcito ruso (mil.ru) y del Kremlin (kremlin.ru), alojados en la red estatal de internet de Rusia, eran inaccesibles o tardaban en cargarse. Madory detallĆ³ que un bloque completo de dominios de internet que alojan sitios de kremlin.ru estaba bajo ataque.
SaturaciĆ³n en lĆneas y redes celulares
La agencia de ciberseguridad de Ucrania dijo que las redes celulares estaban saturadas con llamadas de voz y sugiriĆ³ a los usuarios que no pudieran hacerlas que usaran mensajes de texto.
Madory dijo que el internet en Ucrania estaba ābajo un estrĆ©s severo en este momentoā. Algunos expertos en ciberseguridad dijeron antes del ataque que podrĆa ser conveniente para la inteligencia āy la guerra de desinformaciĆ³n del Kremlinā no tratar de derribar el internet en Ucrania durante un ataque militar.
El servicio de ciberseguridad de Ucrania tambiĆ©n publicĆ³ una lista en su canal Telegram de canales conocidos de ādesinformaciĆ³n activaā que debĆan evitarse.
No estaba claro cuĆ”ntas redes se vieron afectadas por el borrado de datos nunca antes visto, dirigido a organizaciones de las industrias financiera, de defensa, de aviaciĆ³n y de tecnologĆa de la informaciĆ³n, precisĆ³ el jueves Symantec Threat Intelligence en un blog.
ESET Research Labs dijo antes que el miĆ©rcoles detectĆ³ un nuevo programa malicioso de borrado de datos en ācientos de mĆ”quinas en el paĆsā, pero que no estaba claro cuĆ”ntas redes se vieron afectadas.
āEn cuanto a si el malware tuvo Ć©xito en su capacidad de borrar, suponemos que efectivamente fue asĆ y se borraron las mĆ”quinas afectadasā, afirmĆ³ el jefe de investigaciĆ³n de ESET, Jean-Ian Boutin, que no quiso identificar a los objetivos, pero apuntĆ³ que se trataba de āorganizaciones grandesā.
ESET no pudo confirmar quiƩn estaba detrƔs de las acciones.
Ataques DDoS
Los funcionarios ucranianos esperaban desde hace tiempo que los ciberataques precedieran y acompaƱaran a cualquier incursiĆ³n militar rusa. La combinaciĆ³n de ataques DDoS, que bombardean las webs con trĆ”fico falso para hacerlas inaccesibles, y las infecciones con malware se ajustan al manual de operaciones ruso, de combinar las operaciones en internet con las agresiones en el mundo real.
Symantec dijo que el borrado de datos descubierto el miĆ©rcoles era similar a un ataque con malware a mediados de enero en el cual se usĆ³ malware de borrado disfrazado de ransomware, otro un programa informĆ”tico malicioso que bloquea una computadora exigiendo el pago de un rescate para liberar los datos.
Symantec detectĆ³ tres organizaciones afectadas por el malware de borrado: contratistas del gobierno ucraniano en Letonia y Lituania, y una instituciĆ³n financiera en Ucrania, informĆ³ Vikram Thakur, director tĆ©cnico de la firma. Ambos paĆses forman parte de la OTAN.
āLos atacantes han ido a por estos objetivos sin importarles mucho dĆ³nde pudieran estar ubicados fĆsicamenteā, aƱadiĆ³.
Computadoras afectadas por malware
Los tres tenĆan āuna estrecha relaciĆ³n con el gobierno de Ucraniaā, informĆ³ Thakur, agregando que Symantec cree que los ataques fueron ātotalmente dirigidosā. AdemĆ”s, apuntĆ³ que unas 50 computadoras de la organizaciĆ³n financiera se vieron afectadas por el malware, algunas con borrado de datos.
Cuando se le preguntĆ³ por este ataque de borrado el miĆ©rcoles, un alto funcionario de ciberdefensa ucraniano, Victor Zhora, dijo que no tenĆa comentarios.
āEs probable que Rusia haya estado planeando esto desde hace meses, por lo que es difĆcil decir cuĆ”ntas organizaciones o agencias han sido infiltradas en preparaciĆ³n de estos ataquesā, afirmĆ³ Chester Wisniewski, investigador principal de la empresa de ciberseguridad Sophos.
TeorizĆ³ que, con el malware, el Kremlin pretendĆa āenviar el mensaje de que han comprometido una porciĆ³n significativa de la infraestructura ucraniana y que estos son Ćŗnicamente pequeƱos bocados para mostrar lo omnipresente que es su penetraciĆ³nā.
Mire tambiƩn
El presidente de Ucrania dijo a los lĆderes europeos que si no ayudan ahora a su paĆs, "maƱana la guerra tocarĆ” a sus puertas" https://t.co/VFy0btZ0Xy pic.twitter.com/bPE2iDuwdb
— Teleamazonas (@teleamazonasec) February 24, 2022
Los ciberataques han sido un arma clave de la agresiĆ³n rusa en Ucrania desde antes de 2014, cuando el Kremlin se anexĆ³ la penĆnsula ucraniana de Crimea y los hackers intentaron frustrar las elecciones. TambiĆ©n se utilizaron contra Estonia en 2007 y Georgia en 2008. Su intenciĆ³n puede ser sembrar el pĆ”nico, confundir y distraer.
Los ataques de denegaciĆ³n de servicio se encuentran entre los menos graves porque no implican una intrusiĆ³n en la red.