El siguiente post tiene como objetivo la recopilación de hechos relacionados a los ciberataques y medidas que se están tomando debido al conflicto entre Ucrania y Rusia.
Indicadores de Compromisos: Haz clic aquí
23/02/2022:
17:25 PM: Dos empresas de ciberseguridad con fuerte presencia comercial en Ucrania, ESET y Symantec, han informado el día de ayer que las redes informáticas del país han sufrido un nuevo ataque de borrado de datos. El ataque se produce mientras las tropas militares rusas han cruzado la frontera e invadido el territorio de Ucrania en lo que el presidente ruso Putin ha descrito como una misión de «mantenimiento de la paz«.
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
— ESET research (@ESETresearch) February 23, 2022
New #wiper malware being used in attacks on #Ukraine
— Threat Intelligence (@threatintel) February 23, 2022
1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
24/02/2022:
15:46 PM: Rusia bloquea el acceso al sitio web mil.ru, con un error HTTP 418. El sitio es posible acceder vía VPN Rusas. Se podría interpretar que Rusia estará intentando evitar un ataque masivo a sus sitios webs, tras los acontecimiento en Ucrania.
El sitio web militar ruso, https://t.co/Y8mIKhFjnp, lanza un error HTTP 418 (Contexto: 418 Soy una tetera) a todo sitio que intente acceder. Mientras que si accedes por VPN, el sitio entra sin problemas.
— LixaH_CL 🇨🇱 🇺🇦 VTuber Hacker (@LixaH_CL) February 24, 2022
Y sí, esto no es una broma. Compruébalo tu mismo/a. pic.twitter.com/ui5Wg0OjPs
16:45 PM: El portal del Ministerio de Política Agraria y Alimentación de Ucrania (tangodown) ha vuelto a ser intervenido el jueves para incluir un link a la DarkWeb donde se exponen múltiples DataLeaks con información sensible del gobierno y los ciudadanos.
🚨 Continúan los ciberataques.
— Germán Fernández 🇨🇱 (@1ZRR4H) February 24, 2022
El portal del Ministerio de Política Agraria y Alimentación de Ucrania 🇺🇦 (#tangodown) ha vuelto a ser intervenido hoy para incluír un link a la #DarkWeb donde se exponen múltiples #DataLeaks con información sensible del gobierno y los ciudadanos 😕 pic.twitter.com/h1LBp44Q9m
25/02/2022:
09:58 AM: Se registran múltiples sitios webs para realizar «donaciones» a los afectados en Ucrania. Los sitios webs son falsos y están hechos para realizar estafas a escala masiva.
#ESETresearch #BREAKING Cybercriminals have no shame. With no humanitarian organization and only generic purpose mentioned, scammers try to lure out money from people trying to help #Ukraine during the #war. 🇺🇦
— ESET research (@ESETresearch) February 25, 2022
IoC:
help-for-ukraine[.]eu
tokenukraine[.]com pic.twitter.com/0NkuSCB13F
Couple more:
— Frost (@fr0s7_) February 25, 2022
saveukraine[.]xyz
saveukraine[.]co
saveukraine[.]live pic.twitter.com/zZwnhj9LF7
03:09 AM: Las autoridades ucranianas afirmaron este viernes que diferentes actores de amenazas patrocinados por el Estado bielorruso están tratando de comprometer las cuentas de correo electrónico de su personal militar.
Mediante un comunicado en la cuenta de Facebook del CERT-UA, dicen «Recientemente se han observado correos electrónicos masivos de phishing dirigidos a las cuentas privadas (i.ua) y (meta.ua) del personal militar ucraniano y personas relacionadas.
El grupo «UNC1151«, con sede en Minsk, está detrás de estas actividades. Sus miembros son funcionarios del Ministerio de Defensa de la República de Bielorrusia».

13:21 PM: El grupo de cibercriminales Conti Ransomware muestra su apoyo a la Federación de Rusia y amenaza con realizar ciberataques con toda su infraestructura a todos los países que la ataquen.
«Si alguien decide organizar un ataque cibernético o cualquier actividad de guerra contra Rusia, utilizaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas de un enemigo«.
La banda de cibercriminales Conti Ransomware muestra su apoyo a Rusia en un post publicado en su sitio de filtraciones. pic.twitter.com/8JMvaRijUl
— LixaH_CL 🇨🇱 🇺🇦 VTuber Hacker (@LixaH_CL) February 25, 2022
15:59 PM: La pandilla de CoomingProject da su apoyo a Rusia y amenaza con ayudar al gobierno si son atacados. Los mismos pasos de Conti Ransomware.
La pandilla de CoomingProject da su apoyo a Rusia y amenaza con apoyar al gobierno si son atacados. Los mismos pasos de Conti Ransomware.
— LixaH_CL 🇨🇱 🇺🇦 VTuber Hacker (@LixaH_CL) February 25, 2022
Ahora los Concha de sus Madres salen a relucir sus verdaderas caras. Aunque nunca las han ocultado. pic.twitter.com/TFgPQN8Iie
16:31 PM: Conti Ransomware lanza un nuevo comunicado, corrigiendo con lo publicado anteriormente.
Cito «Como respuesta al belicismo occidental y a las amenazas estadounidenses de utilizar la guerra cibernética contra los ciudadanos de la Federación Rusa, el Equipo Conti anuncia oficialmente que utilizaremos toda nuestra capacidad para aplicar medidas de represalia en caso de que los belicistas occidentales intenten atacar infraestructuras críticas en Rusia o en cualquier región de habla rusa del mundo. No nos aliamos con ningún gobierno y condenamos la guerra en curso. Sin embargo, dado que se sabe que Occidente libra sus guerras atacando principalmente a civiles, utilizaremos nuestros recursos para contraatacar si el bienestar y la seguridad de ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense.«
La primera publicación sobre su apoyo a Rusia ha sido eliminado del sitio, lo interesante es que ahora dicen que «No nos aliamos con ningún gobierno y condenamos la guerra en curso«. ¿Sospechoso, no?
#Conti #ransomware just changed the phrasing of their statement regarding Russia's support. Claiming that they do not ally with any government and condemn the war.@VK_Intel @malwrhunterteam pic.twitter.com/JaLYPlDjwb
— Yelisey Boguslavskiy (@y_advintel) February 25, 2022
26/02/2022: «El hacktivismo (o los servicios de inteligencia que se hacen pasar por hacktivistas) ha regresado con fuerza desde que comenzó la guerra ruso-ucraniana. Hay tantas filtraciones interesantes (aún no verificadas) volando por Twitter y Telegram estos días que apenas puedo seguir el ritmo.» Dijo, Catalin Cimpan en su cuenta de Twitter.
Hacktivism (or intelligence services posing as hacktivists) has returned with a vengeance since the Russo-Ukrainian started.
— Catalin Cimpanu (@campuscodi) February 26, 2022
So many interesting (yet unverified) leaks flying around on Twitter and Telegram these days I can barely keep up.
Just a small selection below: pic.twitter.com/1aCNzPd5vJ
12:54 PM: Un grupo desconocido de personas había violado las estaciones de televisión rusas, obligándolos a reproducir canciones ucranianas. Imágenes de este evento han aparecido en TikTok.
Moments ago @KyivIndependent reported an unknown group of individuals had breached Russian TV stations, making them play Ukrainian songs. Footage of this occuring has appeared on TikTok.
— vx-underground (@vxunderground) February 26, 2022
Intel courtesy of @0x70sec pic.twitter.com/TheaveguPN
18:57 PM: Rusia confirma un «ataque informático sin precedentes» contra sus páginas web institucionales.
Rusia confirma un "ataque informático sin precedentes" contra sus páginas web institucionales https://t.co/lSFtlUPiWS pic.twitter.com/waQMcrn9ZA
— Europa Press (@europapress) February 26, 2022
19:40 PM: La Unión Europea y EE.UU comenzarán a eliminar los bancos rusos del sistema SWIFT.
BREAKING: European Union and the US will start to remove Russian banks from the SWIFT system
— Blockworks (@Blockworks_) February 26, 2022
27/02/2022:
08:13 AM: La pandilla AgainstTheWest afirmó haber atacado a las agencias gubernamentales rusas con un ransomware personalizado y malware de limpieza y datos filtrados.
AgainstTheWest gang claimed to have attacked Russian government agencies with custom ransomware and wiper malware and leaked data. pic.twitter.com/kw7spPPEcU
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) February 27, 2022
19:19 PM: El grupo de ransomware Conti emitió previamente un mensaje del lado del gobierno ruso.
Hoy, un miembro de Conti ha comenzado a filtrar datos con el mensaje «¡Que se joda el gobierno ruso, gloria a Ucrania!«
Conti ransomware group previously put out a message siding with the Russian government.
— vx-underground (@vxunderground) February 27, 2022
Today a Conti member has begun leaking data with the message "Fuck the Russian government, Glory to Ukraine!"
You can download the leaked Conti data here: https://t.co/BDzHQU5mgw pic.twitter.com/AL7BXnihza
23:40 PM: El grupo Bielorrusia Cyber-Partisons, realizó un ataque cibernético contra la infraestructura ferroviaria de Bielorrusia, diseñado para detener los movimientos militares rusos. Los trenes se detuvieron en Minsk, Orsha y Osipovichi El sistema ferroviario utiliza Windows XP.
The monitoring system of the Belarusian Railway's internal computer network. An outdated piece of crapware that runs on Windows XP… https://t.co/Ejs7tc8E0j pic.twitter.com/Mcj7Ltz31i
— Belarusian Cyber-Partisans (@cpartisans) February 27, 2022
Un usuario anónimo vía Twitter con el nombre de @ContiLeaks, ha empezado a filtrar conversaciones internas con los diferentes afiliados, cabecillas, servicios estatales rusos, etc. Hasta el momento de realizar esta actualización, el usuario sigue publicando nueva data.


Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.