Los ciberataques han sido una constante en la guerra entre Rusia y Ucrania, pero recientemente se ha descubierto un caso peculiar. Hackers rusos han utilizado el popular software de compresión de archivos, WinRAR, para atacar organismos gubernamentales ucranianos y eliminar una gran cantidad de archivos de sus computadoras.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha confirmado el incidente. Según el ente especializado en ciberseguridad, los hackers lograron acceder a sistemas gubernamentales importantes y destruir datos almacenados en ellos. Utilizaron cuentas de VPN comprometidas previamente, que no estaban protegidas por un sistema de autenticación multifactor.
Hackers rusos utilizan WinRAR para atacar y eliminar archivos del gobierno de Ucrania
Una vez dentro de los equipos ucranianos, los ciberdelincuentes aprovecharon la instalación legítima de WinRAR para eliminar los archivos deseados. Utilizaron una versión modificada de un script llamado RoarBAT en los ordenadores con Windows. Este script permitía buscar y eliminar una amplia variedad de archivos en discos y directorios específicos.
El ataque abarcó diversos formatos de archivo, incluyendo documentos de Word, planillas de Excel, imágenes, archivos PDF, archivos multimedia, ficheros comprimidos y ejecutables. Los hackers enviaron los archivos a WinRAR para archivarlos, utilizando la opción “-df” a través de la línea de comandos de Windows. Esto resultó en la eliminación de los datos originales a medida que eran archivados, y el script borraba el archivo final.
El alcance real de la vulneración aún no se ha revelado, pero se estima que una gran cantidad de información fue destruida. El ataque no se limitó a equipos con Windows y WinRAR, ya que en sistemas Linux, los hackers utilizaron un script de Bash para sobrescribir los documentos con archivos de cero bytes mediante el comando “dd”.
Los expertos en ciberseguridad de Ucrania señalan que estos ataques podrían haberse evitado si se hubiera implementado un sistema de autenticación multifactor para proteger las credenciales de inicio de sesión de las agencias gubernamentales. Según las direcciones IP y el modus operandi, se sospecha que el grupo de hackers rusos Sandworm está detrás de estos ataques.
¡Síguenos en Google News, Facebook y Twitter para mantenerte informado con las mejores noticias!
