Los piratas informáticos rusos usan WinRAR para borrar los datos de la agencia estatal de Ucrania

El grupo de piratas informáticos ruso 'Sandworm' se ha relacionado con un ataque a las redes estatales de Ucrania en el que se utilizó WinRar para destruir datos en dispositivos gubernamentales.

En un nuevo aviso, el Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania (CERT-UA) dice que los piratas informáticos rusos utilizaron cuentas VPN comprometidas que no estaban protegidas con autenticación multifactor para acceder a sistemas críticos en las redes estatales de Ucrania.

Una vez que obtuvieron acceso a la red, emplearon scripts que borraron archivos en máquinas Windows y Linux utilizando el programa de archivo WinRar.

En Windows, el script BAT utilizado por Sandworm es 'RoarBat', que busca discos y directorios específicos para tipos de archivos como doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin y dat, y los archiva con el programa WinRAR.

Sin embargo, cuando se ejecuta WinRar, los atacantes utilizan la opción de línea de comandos "-df", que elimina automáticamente los archivos a medida que se archivan. Luego, los archivos en sí se eliminaron, eliminando efectivamente los datos en el dispositivo.

CERT-UA dice que RoarBAT se ejecuta a través de una tarea programada creada y distribuida centralmente a los dispositivos en el dominio de Windows mediante políticas de grupo.

En los sistemas Linux, los actores de amenazas usaron un script Bash en su lugar, que empleó la utilidad "dd" para sobrescribir los tipos de archivos de destino con cero bytes, borrando su contenido. Debido a este reemplazo de datos, la recuperación de archivos "vaciados" con la herramienta dd es poco probable, si no completamente imposible.

Como tanto el comando 'dd' como WinRar son programas legítimos, es probable que los atacantes los usaran para eludir la detección por parte del software de seguridad.

CERT-UA dice que el incidente es similar a otro ataque destructivo que golpeó a la agencia de noticias estatal ucraniana "Ukrinform" en enero de 2023, también atribuido a Sandworm.

"El método de implementación del plan malicioso, las direcciones IP de los sujetos de acceso, así como el hecho de utilizar una versión modificada de RoarBat dan testimonio de la similitud con el ciberataque a Ukrinform, cuya información se publicó en el canal de Telegram". CyberArmyofRussia_Reborn" el 17 de enero de 2023". lee el aviso CERT-UA.

CERT-UA recomienda que todas las organizaciones críticas del país reduzcan su superficie de ataque, corrijan las fallas, deshabiliten los servicios innecesarios, limiten el acceso a las interfaces de administración y controlen el tráfico y los registros de su red.

Como siempre, las cuentas VPN que permiten el acceso a redes corporativas deben protegerse con autenticación multifactor.

Google: Ucrania es el objetivo del 60 % de los ataques de phishing rusos en 2023

El nuevo mapa de CS:GO evita la censura de Rusia sobre las noticias de la guerra en Ucrania

Los piratas informáticos usan guías falsas de 'Actualización de Windows' para atacar al gobierno de Ucrania

La agencia cibernética del Reino Unido advierte sobre una nueva 'clase' de piratas informáticos rusos

Ucraniano arrestado por vender datos de 300 millones de personas a rusos