BOSTON (AP) – Microsoft dijo a última hora del sábado que docenas de sistemas informáticos en un número no especificado de agencias gubernamentales ucranianas han sido infectados con un malware destructivo disfrazado de ransomware, una revelación que sugiere que un ataque de desfiguración de la atención en los sitios web oficiales era una distracción. El alcance de los daños no estaba claro de inmediato.
El ataque se produce mientras se cierne la amenaza de una invasión rusa de Ucrania y las conversaciones diplomáticas para resolver el tenso enfrentamiento parecen estancadas.
Microsoft dijo en una breve entrada de blog que equivalía al tintineo de una alarma de la industria que detectó por primera vez el malware el jueves. Eso coincidiría con el ataque que simultáneamente dejó fuera de servicio temporalmente a unos 70 sitios web gubernamentales.
La revelación siguió a un informe de Reuters de ese mismo día en el que se citaba a un alto funcionario de seguridad ucraniano diciendo que la desfiguración era en realidad la cobertura de un ataque malicioso.
Por otra parte, un alto ejecutivo de ciberseguridad del sector privado en Kiev dijo a The Associated Press cómo se produjo el ataque: Los intrusos penetraron en las redes del gobierno a través de un proveedor de software compartido en un llamado ataque a la cadena de suministro al estilo de la campaña de ciberespionaje rusa SolarWinds de 2020 dirigida al gobierno de Estados Unidos.
Microsoft dijo en otro post técnico que los sistemas afectados “abarcan múltiples organizaciones gubernamentales, sin ánimo de lucro y de tecnología de la información.” Dijo que no sabía cuántas organizaciones más en Ucrania o en otros lugares podrían estar afectadas, pero dijo que esperaba conocer más infecciones.
“El malware se disfraza de ransomware pero, si es activado por el atacante, dejaría inoperativo el sistema informático infectado”, dijo Microsoft. En definitiva, carece de un mecanismo de recuperación del rescate.
Microsoft dijo que el malware “se ejecuta cuando un dispositivo asociado se apaga”, una reacción inicial típica a un ataque de ransomware.
Microsoft dijo que aún no podía evaluar la intención de la actividad destructiva ni asociar el ataque con ningún actor de amenaza conocido. El funcionario de seguridad ucraniano, Serhiy Demedyuk, fue citado por Reuter s diciendo que los atacantes utilizaron un malware similar al utilizado por la inteligencia rusa. Es subsecretario del Consejo de Seguridad Nacional y Defensa.
Una investigación preliminar llevó al Servicio de Seguridad de Ucrania, el SBU, a culpar de la desfiguración de la web a “grupos de hackers vinculados a los servicios de inteligencia de Rusia”. Moscú ha negado reiteradamente su implicación en los ciberataques contra Ucrania.
Las tensiones con Rusia se han disparado en las últimas semanas después de que Moscú reuniera unos 100.000 soldados cerca de la frontera con Ucrania. Los expertos dicen que esperan que cualquier invasión tenga un componente cibernético, que es parte integral de la guerra “híbrida” moderna.
Demedyuk dijo a Reuters en comentarios escritos que la desfiguración “era sólo una tapadera para acciones más destructivas que estaban teniendo lugar entre bastidores y cuyas consecuencias sentiremos en un futuro próximo.” El artículo no daba más detalles y no se pudo contactar inmediatamente con Demedyuk para que hiciera comentarios.
Oleh Derevianko, un destacado experto del sector privado y fundador de la empresa de ciberseguridad ISSP, dijo a la AP que desconocía la gravedad de los daños. Dijo que también se desconoce qué más podrían haber conseguido los atacantes tras irrumpir en KitSoft, el desarrollador explotado para sembrar el malware.
En 2017, Rusia atacó a Ucrania con uno de los ciberataques más dañinos de los que se tiene constancia con el virus NotPetya, que causó más de 10.000 millones de dólares en daños a nivel mundial. Ese virus, también disfrazado de ransomware, era un llamado “wiper” que borraba redes enteras.
Ucrania ha sufrido el desafortunado destino de ser el campo de pruebas del mundo para el ciberconflicto. Piratas informáticos respaldados por el Estado ruso estuvieron a punto de frustrar sus elecciones nacionales de 2014 y de paralizar brevemente partes de su red eléctrica durante los inviernos de 2015 y 2016.
En la desfiguración masiva de la web del viernes, un mensaje dejado por los atacantes afirmaba que habían destruido datos y los habían puesto en línea, lo que las autoridades ucranianas dijeron que no había ocurrido.
El mensaje decía a los ucranianos que “tuvieran miedo y esperaran lo peor”.
Los profesionales de la ciberseguridad ucraniana han estado fortificando las defensas de la infraestructura crítica desde 2017, con más de 40 millones de dólares en asistencia estadounidense. Están especialmente preocupados por los ataques rusos a la red eléctrica, la red ferroviaria y el banco central.