Sitios del gobierno ucraniano interrumpidos por DDoS, Wiper Malware detectado
El Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania declaró que varios bancos y sitios web oficiales del gobierno habían sido atacados con un "ataque DDoS masivo" mientras el país se prepara para una posible invasión de Rusia.
Este es el segundo ataque a sitios gubernamentales en Ucrania, ya que en enero, los sitios web del Ministerio de Relaciones Exteriores y otras agencias gubernamentales fueron atacados por piratas informáticos.
El Servicio Estatal de Comunicaciones Especiales y Protección de la Información, y Netblocks, una organización que rastrea las interrupciones de Internet en todo el mundo, confirmaron que los sitios web del Ministerio de Defensa, el Ministerio de Relaciones Exteriores, el Ministerio del Interior, el Servicio de Seguridad (SBU) y el Gabinete se enfrentó a apagones.
Otros objetivos incluyen PrivatBank, una de las instituciones financieras más grandes de Ucrania, y Oschadbank, el Banco de Ahorros del Estado de Ucrania, ambos lidiando con apagones.
El sitio web de PrivatBank se cayó después del ataque y mostró el mensaje en la pantalla "WAF te está mirando".
Una captura de pantalla del mensaje en el sitio web de Privatbank después del ataque. (Imagen: bloques de red)
Según Cloudflare, actividad DDoS poco frecuente en Ucrania; sin embargo, ha habido un aumento en la actividad en comparación con la semana pasada.
"Ha habido ataques contra sitios web individuales en Ucrania que han sido disruptivos… Hasta ahora han sido relativamente modestos en comparación con los grandes ataques DDoS que hemos manejado en el pasado".
El Servicio de Comunicaciones Especiales y Protección de la Información dijo en un comunicado que los sitios web de varias instituciones y sectores gubernamentales en Ucrania sufrieron un ataque DDoS masivo. Algunos sistemas aún no están disponibles, mientras que otros sitios web han resistido el ataque y están nuevamente en línea.
“Actualmente, el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania y otros sujetos del sistema nacional de ciberseguridad están trabajando para contrarrestar los ataques, recopilar y analizar información", dijo la Comisión.
Según los investigadores de ESET, se utilizó un nuevo " malware de limpieza de datos" en el ataque a los sitios web de Ucrania. Según el informe, el malware se instaló en cientos de dispositivos en el país.
“El limpiador abusa de los controladores legítimos del software EaseUS Partition Master para corromper los datos. Como paso final, el limpiador reinicia la computadora”, dijo ESET.
Se observó además que en uno de los sitios web que fueron atacados con malware, el limpiador se instaló a través del GPO predeterminado. Significa que los atacantes ya habían tomado el control del servidor de Active Directory, lo que facilitó la colocación del malware en los dispositivos.
Según varios informes, el ataque cibernético comenzó alrededor de las 4 pm hora local, al mismo tiempo que el parlamento inició la discusión sobre la declaración del estado de emergencia en Ucrania. Mientras las fuerzas rusas avanzaban hacia las partes orientales del país y se apoderaban de dos ciudades, el gobierno ucraniano impuso un estado de emergencia de 30 días en el país.
Muchos funcionarios estatales también han sido víctimas de ciberataques. Según informes de periodistas locales, el presidente del parlamento, Ruslan Stefanchuk, y su familia sufrieron ciberataques. Los piratas informáticos hicieron numerosos intentos de acceder a sus cuentas de correo electrónico y bloquear tarjetas bancarias, entre otras cosas. El intento de iniciar sesión en su cuenta se realizó desde Rusia.
Teniendo en cuenta la tensión actual entre Rusia y Ucrania y el aumento de los ataques cibernéticos en el país, las organizaciones internacionales han estado monitoreando la situación de cerca. La Oficina de Relaciones Exteriores, Commonwealth y Desarrollo del Reino Unido dijo que la Dirección Principal de Inteligencia de Rusia (GRU) estuvo involucrada en el reciente ataque a los sitios del gobierno ucraniano.
Anne Neuberger, la asesora adjunta de seguridad nacional cibernética de EE. UU., dijo que la información técnica muestra que "se vio que la infraestructura GRU transmitía grandes volúmenes de comunicación a direcciones IP y dominios con sede en Ucrania".
Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), los recientes ataques DDoS utilizaron redes de bots Mirai y Meris con una campaña adicional de desinformación por SMS.
Christian Sorensen, exlíder del equipo internacional de guerra cibernética de US Cybercom, dijo que el propósito de estos ataques DDoS y cibernéticos es aumentar la presión y la tensión en el país.
“No parece que tenga mucho impacto todavía. En las próximas horas/días, anticiparía más actividades para aislar e interrumpir a los ciudadanos ucranianos y especialmente las actividades gubernamentales”, dijo Sorensen.
El objetivo principal de todo esto es causar caos en el país y hacer que la gente y el gobierno no estén seguros de sus acciones. Esta es solo la primera etapa, ya que la próxima etapa podría tener un mayor impacto y dificultar la interferencia de otros países.
A la luz de la tensión actual y la amenaza de una posible invasión rusa de Ucrania, el DHS en los EE. UU ., el NCSC en el Reino Unido y el ACSC en Australia han advertido a las empresas que aumenten su ciberseguridad y se preparen para posibles ataques cibernéticos en caso de que la OTAN interfiera en Ucrania. Occidente también ha impuesto sanciones a Rusia tras la escalada de la crisis de Ucrania.