Rusia está atacando activamente a Ucrania con malware destructivo de datos
En medio del trágico número de víctimas de la brutal y catastrófica invasión de Rusia a Ucrania, los efectos de la larga campaña de ataques cibernéticos destructivos del Kremlin contra su vecino a menudo, con razón, se han tratado como una reflexión tardía. Pero después de un año de guerra, está quedando claro que la guerra cibernética que Ucrania ha sufrido durante el último año representa, según algunas medidas, el conflicto digital más activo de la historia. Nunca en ningún lugar del planeta se han atacado más especímenes de código de destrucción de datos en un solo año.
Antes del primer aniversario de la invasión de Rusia, diversas empresas de ciberseguridad descubrieron de forma independiente que en 2022, Ucrania vio muchos más especímenes de malware “borrador” (wiper) que en cualquier año anterior de la guerra cibernética de larga duración de Rusia contra Ucrania. Eso no significa necesariamente que Ucrania se haya visto más afectada por los ciberataques rusos que en los últimos años. Recordemos que en 2017, los hackers de inteligencia militar de Rusia, conocidos como Sandworm, lanzaron el gusano enormemente destructivo NotPetya. Pero el creciente volumen de código destructivo insinúa un nuevo tipo de guerra cibernética que ha acompañado la invasión física de Rusia a Ucrania. Estos han ocurrido con un ritmo y una diversidad de ataques cibernéticos sin precedentes.
“En términos de la gran cantidad de muestras distintas de malware destructivo, este es el uso más intenso en toda la historia de la informática”.
Anton Cherepanov, investigador senior de malware de ESET
Hackers rusos al ataque
Los investigadores dicen que han observado a los hackers patrocinados por el estado de Rusia lanzar una variedad sin precedentes de malware que destruye datos en Ucrania. Esto es una especie de explosión cámbrica de wipers. Allí encontraron muestras de malware de borrado que se dirigen no solo a las máquinas con Windows, sino también a los dispositivos Linux e incluso a los sistemas operativos menos comunes como Solaris y FreeBSD. Ellos han visto especímenes escritos en una amplia gama de diferentes lenguajes de programación y con diferentes técnicas para destruir la información de las máquinas de destino. Estas van desde corromper las tablas de partición utilizadas para organizar las bases de datos, reutilizar la herramienta de línea de comandos SDelete de Microsoft, hasta sobrescribir archivos al por mayor con datos basura.
En total, investigadores de Fortinet encontraron 16 “familias” diferentes de malware borrador en Ucrania durante los últimos 12 meses, en comparación con solo una o dos en años anteriores.
“No estamos hablando de duplicar o triplicar. Es una explosión, otro orden de magnitud”.
Derek Manky, jefe del equipo de inteligencia de amenazas de Fortinet
Esa variedad, dicen los investigadores, puede ser una señal de la gran cantidad de desarrolladores de malware que Rusia ha asignado para atacar a Ucrania. Asimismo, es un ejemplo de los esfuerzos de Rusia para crear nuevas variantes que puedan adelantarse a las herramientas de detección de Ucrania, particularmente porque Ucrania ha reforzado sus defensas de ciberseguridad.
Aumento de los ataques
Fortinet también descubrió que el creciente volumen de especímenes de malware de wipers que afectan a Ucrania puede, de hecho, estar creando un problema de proliferación más global. Como esas muestras de malware han aparecido en el repositorio de malware de VirusTotal o incluso en repositorios de código abierto de Github, los investigadores de Fortinet dicen que sus herramientas de seguridad de red han detectado otros hackers que reutilizan esos borradores contra objetivos en 25 países de todo el mundo. “Una vez que se desarrolla un payload, cualquiera puede tomarlo y usarlo”.
A pesar de ese gran volumen de malware de este tipo, los ataques cibernéticos de Rusia contra Ucrania en 2022 en algunos aspectos parecían relativamente ineficaces en comparación con años anteriores. Rusia ha lanzado repetidas campañas de guerra cibernética destructivas contra Ucrania desde la revolución del país en 2014, todas aparentemente diseñadas para debilitar la determinación de Ucrania de luchar, sembrar el caos y hacer que Ucrania parezca un estado fallido ante la comunidad internacional.
De 2014 a 2017, por ejemplo, la agencia de inteligencia militar GRU de Rusia llevó a cabo una serie de ciberataques sin precedentes. Estos ataques interrumpieron y luego intentaron falsificar los resultados de las elecciones presidenciales de Ucrania de 2014, provocaron los primeros apagones causados por hackers y finalmente desencadenaron NotPetya. NotPetya es una pieza de malware autorreplicante que afectó a Ucrania y destruyó cientos de redes en agencias gubernamentales, bancos, hospitales y aeropuertos. Esto ocurrió antes de propagarse a nivel mundial causando un daño de $10 mil millones de dólares.
Cambio de estrategia
Pero desde principios de 2022, los ataques cibernéticos de Rusia contra Ucrania han cambiado. En lugar de obras maestras de código malévolo que requirieron meses para crearse e implementarse, como en las campañas de ataque anteriores de Rusia, los ataques cibernéticos del Kremlin se han acelerado en actos de sabotaje rápidos, sucios, implacables, repetidos y relativamente simples
De hecho, Rusia parece, hasta cierto punto, haber cambiado calidad por cantidad en su malware borrador. La mayoría de los más de una docena de wipers lanzados en Ucrania en 2022 han sido relativamente toscos y sencillos en la destrucción de datos, sin ninguno de los complejos mecanismos de autopropagación que se ven en herramientas de la GRU más antiguas como NotPetya, BadRabbit u Olympic Destroyer. En algunos casos, incluso muestran signos de trabajos de codificación apresurados. HermeticWiper, una de las primeras herramientas de limpieza que llegó a Ucrania justo antes de la invasión de febrero de 2022, usó un certificado digital robado para parecer legítimo y evitar la detección, una señal de una planificación sofisticada previa a la invasión.
Pero HermeticRansom, una variante de la misma familia de malware diseñada para aparecer como ransomware para sus víctimas, incluía errores de programación triviales. HermeticWizard, una herramienta complementaria diseñada para propagar HermeticWiper de un sistema a otro, también estaba extrañamente mal hecha. Fue diseñado para infectar máquinas nuevas al intentar iniciar sesión en ellas con credenciales codificadas, pero solo probaba ocho nombres de usuario y solo tres contraseñas: 123, Qaz123 y Qwerty123.
Ataques exitosos
Quizás el más impactante de todos los ataques de malware de este tipo de Rusia a Ucrania en 2022 fue AcidRain, un código de destrucción de datos que atacó a los módems satelitales Viasat. Ese ataque destruyó una parte de las comunicaciones militares de Ucrania e incluso se extendió a módems satelitales fuera del país, interrumpiendo la capacidad de monitorear datos de miles de turbinas eólicas en Alemania. La codificación personalizada necesaria para atacar Linux utilizada en esos módems sugiere, como el certificado robado utilizado en HermeticWiper, que los hackers de GRU que lanzaron AcidRain lo habían preparado cuidadosamente antes de la invasión de Rusia.
Pero a medida que avanzaba la guerra, y dado que Rusia parecía cada vez menos preparada para el conflicto a largo plazo en el que se sumergió, sus hackers cambiaron a ataques a más corto plazo. Esto es tal vez en un esfuerzo por igualar el ritmo de una guerra física con cambios constantes. Para mayo y junio, la GRU había llegado a favorecer cada vez más el uso repetido de la herramienta de destrucción de datos CaddyWiper, una de sus cepas de wiper más simples. Según Mandiant, GRU implementó CaddyWiper cinco veces en esos dos meses y cuatro veces más en octubre, cambiando su código solo lo suficiente para evitar la detección por parte de las herramientas antivirus.
Nuevas variantes sin muchos cambios
Incluso entonces, sin embargo, la explosión de nuevas variantes de wipers solo ha continuado: ESET, por ejemplo, ha identificado Prestige, NikoWiper, Somnia, RansomBoggs, BidSwipe, ZeroWipe y SwiftSlicer como nuevas formas de malware destructivo. Estas, a menudo se hacen pasar por ransomware.
Pero ESET no ve esa avalancha de malware destructivo como una especie de evolución inteligente, sino como una especie de enfoque de fuerza bruta. Rusia parece estar lanzando todas las herramientas destructivas posibles contra Ucrania en un esfuerzo por adelantarse a sus defensores e infligir cualquier caos adicional que pueda en medio de un conflicto físico agotador.
“No se puede decir que su sofisticación técnica esté aumentando o disminuyendo, pero yo diría que están experimentando con todos estos enfoques diferentes. Están todos adentro y están tratando de causar estragos y causar interrupciones”.
Robert Lipovsky, investigador principal de inteligencia de amenazas de ESET