El grupo delictivo ruso SandWorm se ha relacionado con un ataque a las redes
estatales de Ucrania donde se utilizó WinRar para destruir datos en
dispositivos gubernamentales.
En un nuevo aviso, el
Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania
(CERT-UA) dice
que los delincuentes informáticos rusos utilizaron cuentas VPN comprometidas
que no estaban protegidas con autenticación multifactor para acceder a
sistemas críticos en las redes estatales de Ucrania.
Una vez que obtuvieron acceso a la red, emplearon scripts que borraron
archivos en máquinas Windows y Linux utilizando el programa de archivo WinRar.
En Windows, el script BAT utilizado por SandWorm es RoarBat, que busca
discos y directorios específicos para tipos de archivos como:
doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg,
zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin y dat, y los comprime con el programa WinRAR.
Sin embargo, cuando se ejecuta WinRar, los atacantes utilizan la opción de
línea de comandos «WinRar -df», que elimina automáticamente los archivos a
medida que se archivan. Luego, el archivo comprimido también se elimina.
CERT-UA dice que RoarBAT se ejecuta a través de una tarea programada creada y
distribuida centralmente a los dispositivos en el dominio de Windows mediante
políticas de grupo.
En los sistemas Linux, los actores de amenazas usaron un script Bash en
su lugar, que emplea la utilidad dd para sobrescribir los tipos de
archivos de destino con cero bytes, borrando su contenido. Debido a este
reemplazo de datos, la recuperación de archivos «vaciados» con la herramienta
dd es poco probable, si no completamente imposible.
Tanto el comando dd como WinRar son programas legítimos, es probable
que los atacantes los usaran para eludir la detección por parte del software
de seguridad.
CERT-UA dice que el incidente es similar a otro ataque destructivo que golpeó
a la agencia de noticias estatal ucraniana
«Ukrinform» en enero de 2023, también atribuido a SandWorm.
CERT-UA recomienda que todas las organizaciones críticas del país reduzcan su
superficie de ataque, corrijan las fallas, deshabiliten los servicios
innecesarios, limiten el acceso a las interfaces de administración y controlen
el tráfico y los registros de su red.
Como siempre, las cuentas VPN que permiten el acceso a redes corporativas
deben protegerse con autenticación multifactor.
Fuente:
BC
Los comentarios están cerrados.