Hacktivismo histórico, ransomware de venganza y otras noticias de ciberataques relacionadas con la invasión de Ucrania
Una semana después de la invasión de Ucrania, los ataques cibernéticos relacionados con el conflicto han continuado desde que los primeros tanques cruzaron la frontera, y probablemente incluso antes.
Anteriormente, publicamos preguntas frecuentes rápidas para aliviar las preocupaciones de las organizaciones sobre ser atacadas en relación con la invasión. Sin embargo, la semana pasada ha visto varios desarrollos notables en amenazas cibernéticas relacionadas con la invasión. Estos son algunos de los más significativos:
Ucrania recluta hacktivistas
Durante el fin de semana, Mykhailo Fedorov, Viceprimer Ministro de Ucrania y Ministro de Transformación Digital de Ucrania, abrió la puerta a los “especialistas cibernéticos” para unirse a Ucrania en la lucha contra Rusia mediante la creación de lo que llamó el Ejército de TI de Ucrania.
“Esta es la primera vez en la historia en la que vemos a un gobierno pedir ayuda a piratas informáticos extranjeros durante un conflicto armado”, dice el director de investigación de F-Secure, Mikko Hypponen .
Desde entonces, los informes de los medios (como este artículo de Ars Technica) han señalado que muchos de los objetivos del Ejército de TI de Ucrania parecen estar fuera de línea.
Y estos vigilantes cibernéticos no son los únicos hackers que brindan apoyo a Ucrania. A fines de la semana pasada, el colectivo hacktivista Anonymous anunció que entrarían en el conflicto en apoyo de Ucrania.
El grupo de ransomware CONTI respalda a Rusia
La notoria banda de ransomware CONTI, por otro lado, expresó su apoyo a la invasión rusa, según Reuters y TechCrunch . En una publicación de blog, el grupo amenazó con usar sus capacidades contra cualquiera que ataque infraestructura crítica en Rusia.
Aparentemente, algunos dentro del grupo no estaban contentos de apoyar a Rusia y decidieron filtrar los datos de CONTI como represalia.
Wipers, gusanos y otro malware
Se han implementado varios tipos diferentes de malware en Ucrania, probablemente en apoyo de la invasión de Rusia. La investigación de ESET ha identificado las familias de malware HermeticWiper e IsaacWiper, que destruyen datos. También identificaron a HermeticWizard como un gusano de red utilizado para propagar HermeticWiper y el uso limitado de un ransomware llamado HermeticRansom.
Orientación para organizaciones
Según la información actual, F-Secure evalúa las siguientes amenazas clave para las organizaciones.
Ransomware
La amenaza a la que se enfrentan las organizaciones por el ransomware sigue estando siempre presente. Sin embargo, algunas organizaciones ahora enfrentan un riesgo elevado de ser atacadas por grupos que actúan en apoyo de Rusia. Las organizaciones afectadas incluyen empresas, entidades gubernamentales y ONG que operan en países que han promulgado sanciones, junto con organizaciones que han ofrecido apoyo público a Ucrania o anunciado cualquier retiro de apoyo económico a Rusia.
Hacktivismo disruptivo
Los ataques de denegación de servicio (DDoS) contra organizaciones de ambos lados del conflicto han sido ampliamente reportados. Las organizaciones afectadas incluyen aquellas que trabajan con infraestructura nacional crítica (CNI), finanzas, telecomunicaciones, cadena de suministro militar y organizaciones de medios. Los informes sugieren que los atacantes han ido más allá de los ataques DDoS destinados a eliminar archivos o interrumpir los sistemas de las víctimas a las que han obtenido acceso. Es probable que estos ataques continúen. Las organizaciones deben considerar los ataques observados hasta el momento junto con los vectores DDoS al planificar las mitigaciones.
Hacktivismo de robo de datos
Informes generalizados han identificado ataques realizados contra organizaciones que apoyan a un lado de la guerra o al otro. CONTI ha declarado su apoyo al ruso (ver arriba). Otros actores de amenazas pueden hacer lo mismo, aumentando la naturaleza de estos ataques. Esto probablemente conduciría a la participación de más actores de amenazas y una amplia gama de víctimas que sufren los impactos de ataques potencialmente indiscriminados. Estos ataques van más allá de la interrupción porque los datos pueden ser robados y filtrados, causando daños tanto a las organizaciones objetivo como a las personas cuyos datos pueden verse comprometidos.
Amenazas internas
El conflicto Rusia-Ucrania ha provocado fuertes respuestas emocionales y políticas. Este tipo de entorno puede dar lugar a circunstancias en las que las personas pueden actuar para apoyar a su “lado” mediante la realización de acciones maliciosas contra los empleadores. Ya se ha informado de un caso de tal actividad en relación con un super yate ruso.. Además, los agentes extranjeros pueden estar más dispuestos a inducir acciones internas por parte de individuos contra una gama más amplia de organizaciones debido al aumento de las tensiones y al contexto de acciones de confrontación activa. Este riesgo afecta principalmente a las organizaciones que trabajan en CNI oa las organizaciones vinculadas políticamente, aunque existe un riesgo para organizaciones más amplias como posibles objetivos colaterales. Las organizaciones con operaciones en Rusia, Ucrania u organizaciones de servicios que trabajan en cualquiera de los dos países deben considerar sus riesgos de amenazas internas.
Amenazas respaldadas por el estado
El uso del malware Wiper, que según F-Secure es probablemente una operación respaldada por el estado, ya ha jugado un papel crucial en este conflicto. Ataques similares u otras amenazas de espionaje respaldadas por el estado son posibles, si no probables. La interrupción y la recopilación de información de inteligencia que puede dar una ventaja a un lado en el conflicto en curso son objetivos probables para los actores de amenazas respaldados por el estado. F-Secure evalúa que este tipo de operaciones es más probable contra organizaciones CNI en Ucrania y la OTAN, pero que los objetivos terciarios de organizaciones en esos países son plausibles. Sin embargo, para la mayoría de las organizaciones, las amenazas respaldadas por el estado son un riesgo menos probable que los otros mencionados en este informe y, por lo tanto, no deben centrarse demasiado en ellas, a menos que una organización se ajuste claramente a los criterios de focalización relevantes para estas operaciones. Más allá del CNI tradicional.
Si bien la cantidad de amenazas asociadas con la invasión ha aumentado, la guía general ha cambiado muy poco. Es poco probable que la mayoría de las organizaciones del mundo acaben siendo blanco de alguna de estas amenazas. Sin embargo, las organizaciones necesitan determinar su exposición y riesgos caso por caso.
El consultor de seguridad de F-Secure, Antti Laatikainen , ha brindado algunas sugerencias en LinkedIn sobre cómo las organizaciones pueden evaluar su exposición a estas amenazas. Las organizaciones actualmente afectadas, o aquellas que consideran que las amenazas son relevantes, pueden encontrar consejos de mitigación útiles (particularmente para ataques que involucran malware destructivo) en https://www.cisa.gov/uscert/ncas/alerts/aa22-057a .
