Microsoft advierte que vio a seis grupos de piratería patrocinados por el estado alineados con Rusia lanzar más de 237 ataques cibernéticos contra Ucrania a partir de las semanas previas a la invasión de Rusia el 24 de febrero.
Microsoft ha publicado un informe detallado que detalla cómo los ataques cibernéticos rusos contra Ucrania estaban «fuertemente correlacionados» o «sincronizados directamente» con sus operaciones militares en el país.
Por ejemplo, el 1 de marzo, varias compañías de medios con sede en Kiev fueron atacadas por malware destructivo y de robo de información, que coincidió con un ataque con misiles en una torre de televisión de Kiev el mismo día.
VER: Google: Múltiples grupos de hackers están usando la guerra en Ucrania como señuelo en intentos de phishing
Luego, el 13 de marzo, un presunto actor del estado-nación ruso robó datos de una organización de seguridad nuclear, alineándose con las tropas rusas que tomaron la planta de energía nuclear de Chernobyl y la planta de energía nuclear de Zaporizhzhia.
El informe analiza más de cerca el uso de malware destructivo por parte de Rusia durante y antes de la invasión, la primera de las cuales fue descubierta por Microsoft a mediados de enero y denominada WhisperGate. La combinación de puntos cibernéticos y militares a la estrategia de guerra híbrida de Rusia, según Microsoft.
«El uso de ciberataques por parte de Rusia parece estar fuertemente correlacionado y, a veces, directamente sincronizado con sus operaciones militares cinéticas dirigidas a servicios e instituciones cruciales para los civiles», dice el vicepresidente corporativo, seguridad y confianza del cliente, Tom Burt.
Según el informe, el día antes de que el ejército de Rusia invadiera Ucrania, los operadores vinculados al GRU, el servicio de inteligencia militar de Rusia, lanzaron ataques de limpieza destructivos en cientos de sistemas en el gobierno, TI, energía y organizaciones financieras de Ucrania.
Microsoft detectó 37 ataques de malware destructivo contra Ucrania entre el 24 de febrero y el 8 de abril a través de ocho familias de malware destructivas conocidas, incluidas FoxBlade, que Microsoft encontró en febrero, FiberLake, IsaacWiper/HermeticWiper/SonicVote y CaddyWiper, así como Industroyer2, destinado al control industrial. sistemas (ICS). En muchos casos, el malware utilizó la utilidad SecureDelete para borrar datos.
Hace dos semanas, el gobierno de los EE. UU. advirtió sobre un presunto malware ruso llamado Pipedream que fue personalizado para comprometer el equipo ICS de múltiples proveedores. Los funcionarios de Ucrania a principios de este mes también dijeron que detuvieron un ataque cibernético en una instalación de energía que podría haber cortado el suministro eléctrico a dos millones de personas.
«Los actores de amenazas rusos conocidos y sospechosos desplegaron malware y abusaron de utilidades legítimas 37 veces para destruir datos en sistemas objetivo. SecureDelete es una utilidad legítima de Windows que los actores de amenazas abusaron para eliminar permanentemente datos de dispositivos objetivo», dice Microsoft en el informe.
“Más del 40% de los ataques destructivos estaban dirigidos a organizaciones en sectores de infraestructura crítica que podrían tener efectos negativos de segundo orden en el gobierno, el ejército, la economía y las personas”, dice Microsoft.
Además, el 32 % de los incidentes destructivos afectaron a organizaciones gubernamentales ucranianas a nivel nacional, regional y municipal.
Las tres principales agencias militares rusas que Microsoft identifica en el informe son el GRU, el SVR (servicio de inteligencia exterior de Rusia) y el FSB o Servicio Federal de Seguridad. Los principales métodos para el acceso inicial fueron el phishing, el uso de vulnerabilidades sin parches y el compromiso de los proveedores de servicios de TI.
Microsoft dice que los ataques cibernéticos de Rusia parecían «funcionar en conjunto» contra los objetivos de la actividad militar. Sin embargo, no estaba claro si estos estaban coordinados, centralizados o si solo había un conjunto común de prioridades entendidas.
«A veces, los ataques a la red informática precedieron inmediatamente a un ataque militar, pero esos casos han sido raros desde nuestra perspectiva. Las operaciones cibernéticas hasta ahora han sido consistentes con acciones para degradar, interrumpir o desacreditar las funciones económicas, militares y del gobierno ucraniano, asegurar puntos de apoyo en la infraestructura crítica y para reducir el acceso del público ucraniano a la información», dice Microsoft.
VER: El presidente Bronce espía objetivos rusos mientras continúa la invasión de Ucrania
Burt dice que luego del descubrimiento de WhisperGate por parte de Microsoft, se estableció una línea segura de comunicación con los funcionarios de Ucrania y ha brindado soporte desde entonces.
En el período previo a la invasión, Microsoft también observó que los ataques cibernéticos rusos eran cada vez más ruidosos y perturbadores y, por lo general, se intensificaban luego de fallas diplomáticas relacionadas con el conflicto con Ucrania y los miembros de la OTAN.
Burt instó a todas las organizaciones a prestar atención a las alertas publicadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y otras agencias gubernamentales de EE. UU. debido a los temores de que el apoyo militar de la OTAN a Ucrania pueda hacer que los esfuerzos de Rusia se expandan más allá de los objetivos ucranianos.
«Dado que los actores de amenazas rusos han estado reflejando y aumentando las acciones militares, creemos que los ataques cibernéticos continuarán aumentando a medida que se desarrolla el conflicto. Los actores de amenazas del estado-nación ruso pueden tener la tarea de expandir sus acciones destructivas fuera de Ucrania para tomar represalias contra aquellos países que decidan proporcionar más asistencia militar a Ucrania y tomar más medidas punitivas contra el gobierno ruso en respuesta a la agresión continua”, advirtió Burt.
Este artículo se ha actualizado para corregir el nombre del autor del blog de Microsoft, que era de Tom Burt, vicepresidente corporativo, seguridad y confianza del cliente.
microsoft
