Rusia lanza ciberataques “implacables y destructivos” para reforzar la invasión de Ucrania

El 1 de marzo, las fuerzas rusas que invadían Ucrania tomaron una torre de televisión en Kiev después de que el Kremlin declarara su intención de destruir la “desinformación” en el país vecino. Ese acto público de destrucción cinética acompañó una acción mucho más oculta pero no menos dañina: atacar a una destacada emisora ​​​​ucraniana con malware para que sus computadoras no funcionen.

La acción dual es uno de los muchos ejemplos de la «guerra híbrida» que Rusia ha librado contra Ucrania durante el año pasado, según un informe publicado el miércoles por Microsoft. Desde poco antes de que comenzara la invasión, dijo la compañía, los piratas informáticos en seis grupos alineados con el Kremlin han lanzado no menos de 237 operaciones en conjunto con los ataques físicos en el campo de batalla. Casi 40 de ellos dirigidos a cientos de sistemas utilizaron malware de limpieza, que elimina archivos esenciales almacenados en discos duros para que las máquinas no puedan arrancar.

“Como detalla el informe de hoy, el uso de ciberataques por parte de Rusia parece estar fuertemente correlacionado y, a veces, directamente sincronizado con sus operaciones militares cinéticas dirigidas a servicios e instituciones cruciales para los civiles”, escribió Tom Burt, vicepresidente corporativo de seguridad del cliente de Microsoft. Dijo que los “ataques cibernéticos rusos implacables y destructivos” eran particularmente preocupantes porque muchos de ellos tenían como objetivo infraestructura crítica que podría tener efectos negativos en cascada en el país.

No está claro si el Kremlin está coordinando operaciones cibernéticas con ataques cinéticos o si son el resultado de organismos independientes que persiguen el objetivo común de interrumpir o degradar el ejército y el gobierno de Ucrania mientras socavan la confianza de los ciudadanos en esas instituciones. Lo que es innegable es que los dos componentes de esta guerra híbrida se han complementado.

Los ejemplos de acciones cibernéticas rusas que se correlacionan con el desarrollo político o diplomático tomado contra Ucrania antes de que comenzara la invasión incluyen:

• El despliegue de malware de limpieza denominado WhisperGate en un «número limitado» de redes del sector de TI y del gobierno ucraniano el 3 de enero y la desfiguración y DDoSing de sitios web ucranianos un día después. Esas acciones se produjeron cuando se rompieron las conversaciones diplomáticas entre Rusia y los aliados de Ucrania.
• Los ataques DDoS perpetrados contra las instituciones financieras ucranianas el 15 y el 16 de febrero. El 17 de febrero, el Kremlin dijo que se vería «obligado a responder» con medidas técnico-militares si EE. UU. no capitularía ante las demandas del Kremlin.
• El despliegue el 23 de febrero de malware de limpieza por parte de otro grupo estatal ruso en cientos de sistemas ucranianos en los sectores gubernamental, de TI, energético y financiero. Dos días antes, Putin reconoció la independencia de los separatistas ucranianos alineados con Rusia.

Rusia intensificó su ofensiva cibernética una vez que comenzó la invasión. Los puntos destacados incluyen:

• Los compromisos de infraestructura crítica del 14 y 17 de febrero en las ciudades ucranianas de Odesa y Sumy. Estas acciones parecían haber preparado el escenario para el 24 de febrero, cuando los tanques rusos avanzaron hacia Sumy.
• El 2 de marzo, piratas informáticos rusos invadieron la red de una empresa de energía nuclear ucraniana. Un día después, las fuerzas rusas ocuparon la central nuclear más grande de Ucrania.
• El 11 de marzo, una agencia gubernamental en Dnipro fue atacada con un implante destructivo. El mismo día, las fuerzas rusas lanzaron ataques contra los edificios gubernamentales de Dnipro.

El informe del miércoles decía que ya en marzo de 2023, los piratas informáticos alineados con Rusia se prepararon para el conflicto con su país vecino al intensificar las acciones contra organizaciones dentro o alineadas con Ucrania.

Las acciones no han parado desde entonces. Burt escribió:

Cuando las tropas rusas comenzaron a moverse por primera vez hacia la frontera con Ucrania, vimos esfuerzos para obtener acceso inicial a objetivos que podrían proporcionar inteligencia sobre las asociaciones militares y extranjeras de Ucrania. A mediados de 2023, los actores rusos se dirigieron a los proveedores de la cadena de suministro en Ucrania y en el extranjero para asegurar un mayor acceso no solo a los sistemas en Ucrania sino también a los estados miembros de la OTAN. A principios de 2022, cuando los esfuerzos diplomáticos no lograron reducir las crecientes tensiones en torno a la acumulación militar de Rusia a lo largo de las fronteras de Ucrania, los actores rusos lanzaron ataques destructivos de malware de limpieza contra organizaciones ucranianas con una intensidad cada vez mayor. Desde que comenzó la invasión rusa de Ucrania, se han desplegado ciberataques rusos para apoyar los objetivos estratégicos y tácticos de las fuerzas armadas. Es probable que los ataques que hemos observado sean solo una fracción de la actividad dirigida a Ucrania.

El informe incluye una variedad de medidas de seguridad que los posibles objetivos de los ciberataques rusos pueden implementar para protegerse. Una medida incluye activar una característica llamada carpetas controladas. La característica, que no está habilitada de forma predeterminada, está diseñada para proteger los datos en carpetas específicas de la destrucción por ransomware, limpiaparabrisas y otros tipos de malware destructivo.