Señales de que hay una ciberguerra por el conflicto en Ucrania

Experto en ciberseguridad analiza la aparición del WhisperGate como primera señal preocupante en el ciberconflicto por la guerra Rusia Ucrania.

fraude digital Latinoamérica
Fraude digital Latinoamérica. Imagen: Archivo Valora Analitik.

Experto en ciberseguridad analiza la aparición del WhisperGate como primera señal preocupante en el ciberconflicto por la guerra Rusia Ucrania.

El siguiente artículo fue elaborado por Felipe Ruiz, Cybersecurity Editor en Fluid Attacks. Vea más en noticias empresariales.

¿Región? Europa y Eurasia. ¿Tipo de conflicto? Disputa territorial. ¿Número estimado de víctimas? Más de 13.000. ¿Número estimado de desplazados internos? 1,5 millones. ¿Estado del conflicto? Empeora. Este es el fascinante preámbulo que encontramos en el Global Conflict Tracker de la organización estadounidense Council on Foreign Relations cuando intentamos obtener información sobre el actual conflicto en Ucrania.

En 2014, este conflicto estalló después de que comenzaran las protestas por la negativa del presidente ucraniano a integrarse más a la Unión Europea. Poco después, tuvo que huir del país. Al parecer, Rusia no ha querido que se produzca dicha integración porque reduciría su influencia sobre Ucrania. Además, si esta nación se integra en la OTAN (la Organización del Tratado del Atlántico Norte), los rusos podrían verla incluso como una amenaza.

Lo que resulta verdaderamente preocupante ahora, es que miles de tropas rusas están ocupando las fronteras con Ucrania. Aunque por ahora no están en proceso de invasión, esta situación ha hecho que el gobierno de Estados Unidos y sus aliados en Europa movilicen sus grupos de soldados también. Sin embargo, es en el ciberespacio, que es lo que más nos preocupa aquí, donde las cosas avanzan a otro ritmo.

¡Vuelven los ataques al gobierno ucraniano!

Como dijo hace unos días el profesor de Criminología Robert M. Dover, entre Ucrania y Rusia » ya se han producido los primeros disparos, en el ciberespacio». Claro que se refiere a la etapa más reciente del conflicto. Al fin y al cabo, ya ha habido combates entre estos dos vecinos de Europa del Este desde hace tiempo. Del mismo modo, los ciberataques también han tenido lugar en este enfrentamiento desde hace años.

Sin ir más lejos, en 2015, unos hackers rusos tomaron control de una red eléctrica ucraniana, desconectando a más de dos mil personas de su calefacción durante seis horas en pleno invierno. Además, en este blog, mencioné en una ocasión que se atribuyó a una agencia de inteligencia rusa el ataque a varios sistemas y redes de los sectores gubernamental, financiero y energético ucranianos en el año 2017. Utilizaron el conocido malware NotPetya.

Este terrible ataque se extendió a organizaciones de todo el mundo, provocando pérdidas de varios miles de millones de dólares. Ambos incidentes podrían estar relacionados justo con el mismo grupo de hackers: Sandworm. Sin embargo, esos «primeros disparos» que menciona Dover corresponden a asaltos de este nuevo año.

Según el Servicio de Seguridad de Ucrania (SSU), en una investigación conjunta con otras organizaciones estatales, entre el 13 y el 14 de enero se atacaron más de 70 sitios web gubernamentales. Entre ellos se encontraban, por ejemplo, los sitios web del Ministerio de Educación y Ciencia y del Ministerio de Asuntos Exteriores. Se produjeron interferencias, así como la publicación de mensajes provocadores en algunos de los sitios web en los que se amenazaba con subir datos sensibles a las redes públicas y se invitaba a esperar lo peor. Sin embargo, parece que no hubo filtración de datos.

A pesar de ello, se decidió suspender temporalmente otros recursos de la web para evitar que el ataque se extendiera. Se habló de un ataque a la cadena de suministro, que supuestamente comenzó explotando una vulnerabilidad de seguridad en el sistema de gestión de contenidos de una empresa comercial que tenía privilegios para acceder a los sitios web afectados.

Recomendado: Repuntaron ataques al correo corporativo a finales de 2021

Desde entonces, la SSU ya decía que había «ciertos indicios que indicaban [la] participación de grupos de hackers asociados a los servicios especiales rusos en el incidente».

La aparentemente escasa magnitud del impacto de este incidente hizo que algunos consideraran exagerado hablar de un «ataque» ruso. Pero aun así, ministros de diferentes naciones europeas, como Bélgica, Dinamarca, Polonia y Rumanía, condenaron lo ocurrido y ofrecieron su apoyo a los ucranianos. Al día siguiente fue la propia Microsoft la que sacó a la luz que no se trataba de un pequeño asalto. Esta reconocida multinacional informó que había observado un «malware destructivo» en algunos sistemas del gobierno ucraniano y otras organizaciones.

Como comentó más tarde Serhii Demediuk, subsecretario del Consejo de Seguridad Nacional y Defensa de Ucrania, en una entrevista a Record, el desfondamiento de esos sitios web «se trataba de una pista falsa para encubrir acciones más destructivas que, en mi opinión, sentiremos en un futuro próximo».

De los daños de NotPetya a los de WhisperGate

Según el informe de Microsoft, este malware, ahora llamado WhisperGate, estaba diseñado para parecerse a un ransomware, pero no tenía un mecanismo de recuperación del rescate. Por lo tanto, si se activaba, su misión era dejar sin funcionamiento los sistemas infectados. Desde entonces, Microsoft comenzó a compartir información para que las organizaciones pudieran orientar sus investigaciones e implementar defensas. Pero, ¿cómo funciona WhisperGate?

WhisperGate actúa como un Registro de Arranque Maestro o Master Boot Record (MBR) y limpiador de contenido. (El MBR es un sector del disco que contiene la información necesaria para el arranque del sistema operativo). En la primera etapa, WhisperGate sobrescribe el MBR con una nota de rescate y erradica cualquier opción de recuperación.

En la segunda etapa, se descarga un corruptor de archivos malicioso, que localiza archivos específicos en el sistema para sobrescribir su contenido «con un número fijo de 0xCC bytes (tamaño total del archivo de 1 MB)» y renombrarlos «con una extensión aparentemente aleatoria de cuatro bytes». (Para una exposición detallada en cuatro fases, siga este enlace).

Ahora, existe una preocupación mundial de que algo como lo que perpetró NotPetya pueda volver a suceder con WhisperGate. Se dice que NotPetya también era un malware destructivo que se hacía pasar por ransomware. Sin embargo, era más sofisticado de lo que parece ser WhisperGate.

En cualquier caso, es posible que Rusia vuelva a intentar detener el funcionamiento de infraestructuras y entidades esenciales para la economía, la comunicación y el bienestar dentro (y fuera) de Ucrania. Incluso podrían hacerlo simultáneamente con una invasión. Y mientras algunos aún discuten si la propagación del asunto NotPetya fue sólo una cuestión circunstancial o un ataque intencional que también se dirige a empresas internacionales conectadas con Ucrania, algunos países como Estados Unidos han decidido ya estar preparados.

¿Estamos preparados para afrontar una ciberguerra?

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha advertido ya a los operadores de infraestructuras críticas que estén alerta ante estas nuevas ciberamenazas. Desde la administración de Joe Biden se está contemplando la posibilidad de responder a los ciberataques que los rusos van a lanzar contra Ucrania empleando el poder cibernético de Estados Unidos. Quién sabe, podríamos hablar pronto de ciberguerra incluso antes de que se produzca una invasión y un enfrentamiento militar. Como dice O’Neill en el MIT Technology Review, «a diferencia de la guerra a la antigua, la ciberguerra no está confinada por las fronteras y puede salirse más fácilmente de control».

Entretanto, tengamos en cuenta las palabras de Demediuk:

Creo que dondequiera que se utilicen las tecnologías informáticas electrónicas modernas, existe un alto nivel de amenaza, independientemente del país y de su bienestar económico. Si no se presta la debida atención a las cuestiones de ciberdefensa, la vulnerabilidad de esas estructuras será muy alta.

Para ello, recuerde que recomendaciones como mantener el software actualizado con todos los parches disponibles, habilitar la autenticación multifactor, revisar las copias de seguridad y disponer de planes de respuesta a las crisis de ciberseguridad deben seguir siendo prioritarias. Además, no olvide nunca estar al tanto en cuanto a las amenazas activas del momento.

En Fluid Attacks, sabemos que no quiere que sus sistemas se muestren débiles e inseguros en el ciberespacio, donde los ataques pueden llegar a puntos inimaginables en momentos inesperados. Póngase en contacto con un grupo de expertos si pretende evitar a toda costa que sus sistemas acaben siendo víctimas.

Convierta a Valora Analitik en su fuente de noticias