Blog

Siguen los ataques a la infraestructura informática de Ucrania

Dos empresas de ciberseguridad con fuerte presencia comercial en Ucrania, ESET y Symantec, han informado el día de ayer que las redes informáticas del país han sufrido un nuevo ataque de borrado de datos. El ataque se produce mientras las tropas militares rusas han cruzado la frontera e invadido el territorio de Ucrania en lo que el presidente ruso Putin ha descrito como una misión de «mantenimiento de la paz«.

Hasta el momento de esta publicación, se sigue recopilando detalles sobre el ataque, que sigue en marcha. Todavía se desconoce su magnitud y el número de sistemas afectados. Pero se estima que la data borrada puede ser significativa.

El segundo ataque fue registrado tras detectarse que algunos servicios informáticos de Ucrania han sido «limpiados», tras un primer ataque que tuvo lugar a mediados de enero.

El despliegue de ese primer malware, llamado WhisperGate, se ocultó bajo la apariencia de un falso brote de ransomware y durante una serie de desactivaciones coordinadas de sitios web del gobierno ucraniano. Del mismo modo, los ataques de borrado de datos también fueron acompañados por una serie de ataques de denegación de servicio distribuidos (DDoS) contra sitios web del gobierno, en un intento similar de distraer a los trabajadores de TI del gobierno y la atención del público.

Hasta este momento, los funcionarios del gobierno ucraniano no han confirmado ni publicado ningún detalle sobre el ataque en curso. Sin embargo, según un análisis técnico del malware, que ESET dijo que estaba rastreando como KillDisk.NCV, el limpiador se despliega a veces a través de las políticas de grupo de Windows, lo que sugiere que los atacantes pueden tener el control total de algunas de las redes internas de su objetivo.

Una vez desplegado, el limpiador ejecuta una versión del software EaseUS Partition Master, una utilidad de partición de disco, que utiliza para corromper los datos locales y luego reiniciar el ordenador.

Según Silas Cutler, investigador de seguridad de Stairwell, KillDisk.NCV no sólo destruye los datos locales, sino que también daña la sección del registro de arranque maestro (MBR) de un disco duro, lo que impide que el ordenador arranque en el sistema operativo después del reinicio forzado, un comportamiento idéntico al del ataque del limpiador WhisperGate del mes pasado.

ESET dijo que el ataque de ayer fue visto por primera vez a partir de las 16:52, hora de Ucrania. Según el investigador de seguridad MalwareHunterTeam, el malware parece haber sido compilado sólo cinco horas antes de ser desplegado en la naturaleza.

Mientras dure el conflicto de Ucrania y Rusia, los ataques a la infraestructura crítica y de vital importancia seguirán la palestra de los analistas e investigadores de ciberseguridad. Seguiremos informando.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required