Dos empresas de ciberseguridad con fuerte presencia comercial en Ucrania, ESET y Symantec, han informado el día de ayer que las redes informáticas del país han sufrido un nuevo ataque de borrado de datos. El ataque se produce mientras las tropas militares rusas han cruzado la frontera e invadido el territorio de Ucrania en lo que el presidente ruso Putin ha descrito como una misión de «mantenimiento de la paz«.
Hasta el momento de esta publicación, se sigue recopilando detalles sobre el ataque, que sigue en marcha. Todavía se desconoce su magnitud y el número de sistemas afectados. Pero se estima que la data borrada puede ser significativa.
El segundo ataque fue registrado tras detectarse que algunos servicios informáticos de Ucrania han sido «limpiados», tras un primer ataque que tuvo lugar a mediados de enero.
El despliegue de ese primer malware, llamado WhisperGate, se ocultó bajo la apariencia de un falso brote de ransomware y durante una serie de desactivaciones coordinadas de sitios web del gobierno ucraniano. Del mismo modo, los ataques de borrado de datos también fueron acompañados por una serie de ataques de denegación de servicio distribuidos (DDoS) contra sitios web del gobierno, en un intento similar de distraer a los trabajadores de TI del gobierno y la atención del público.
Hasta este momento, los funcionarios del gobierno ucraniano no han confirmado ni publicado ningún detalle sobre el ataque en curso. Sin embargo, según un análisis técnico del malware, que ESET dijo que estaba rastreando como KillDisk.NCV, el limpiador se despliega a veces a través de las políticas de grupo de Windows, lo que sugiere que los atacantes pueden tener el control total de algunas de las redes internas de su objetivo.
Una vez desplegado, el limpiador ejecuta una versión del software EaseUS Partition Master, una utilidad de partición de disco, que utiliza para corromper los datos locales y luego reiniciar el ordenador.
Según Silas Cutler, investigador de seguridad de Stairwell, KillDisk.NCV no sólo destruye los datos locales, sino que también daña la sección del registro de arranque maestro (MBR) de un disco duro, lo que impide que el ordenador arranque en el sistema operativo después del reinicio forzado, un comportamiento idéntico al del ataque del limpiador WhisperGate del mes pasado.
ESET dijo que el ataque de ayer fue visto por primera vez a partir de las 16:52, hora de Ucrania. Según el investigador de seguridad MalwareHunterTeam, el malware parece haber sido compilado sólo cinco horas antes de ser desplegado en la naturaleza.
Mientras dure el conflicto de Ucrania y Rusia, los ataques a la infraestructura crítica y de vital importancia seguirán la palestra de los analistas e investigadores de ciberseguridad. Seguiremos informando.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
