Durante mucho tiempo se sospechó que los ciberdelincuentes y los servicios de inteligencia rusos están cooperando. Con la guerra de Ucrania, la conexión se ha vuelto más estrecha. Esto puede tener consecuencias peligrosas para Occidente.
Cuando los delincuentes realizan ataques cibernéticos, a veces también hay vínculos con el estado ruso.
A fines de agosto, una ola de ataques cibernéticos se extendió por Montenegro. Gran parte de la infraestructura de TI estatal en el pequeño país del Adriático se vio afectada. Computadoras de al menos diez autoridades y numerosos servicios digitales para los ciudadanos eran solo parcialmente funcionales o incluso fallaban. El país combatió el ciberataque durante unas tres semanas, también con la ayuda de Estados Unidos.
El grupo de ransomware Cuba, que se cree que se originó en Rusia, rápidamente se atribuyó la responsabilidad del ataque. Cuba es una de las numerosas bandas criminales que utilizan ciberataques para extorsionar dinero. Para ello, los delincuentes penetran en los sistemas informáticos de sus víctimas y suelen robar datos antes de cifrar los equipos para inutilizarlos. Luego exigen un rescate.
Tales ataques de ransomware se han convertido en una amenaza global para las empresas y agencias gubernamentales en los últimos años. Los delincuentes están organizados de manera muy profesional y también atacan escuelas, hospitales y proveedores de energía. Hace dos años preocupado un ataque de ransomware en el oleoducto colonial de EE. UU. por escasez de combustible.
En el caso de Montenegro, el grupo criminal Cuba ha publicado documentos de algunas autoridades en la dark web, una parte anónima de internet. A pesar de esta evidencia, existen dudas de que el ciberataque haya sido un acto puramente criminal. Existe la sospecha de que el estado ruso podría estar detrás del ataque.
El investigador de seguridad de TI Ippolito Forni llama al fenómeno «ransomware como tapadera» para las acciones gubernamentales. En una presentación en la conferencia «Swiss Cyber Storm», nombró varios ataques de ransomware que podrían haber servido como distracción o como camuflaje para una campaña de espionaje. El ataque a Montenegro es uno de ellos, pero no el único.
Con varios ataques cibernéticos en los últimos meses, es concebible que los atacantes no tuvieran una motivación puramente financiera. Las razones políticas también podrían jugar un papel en el caso de víctimas como las empresas de armas Elbit y Nexeya, empresas de energía como Eni o la agencia energética italiana GSE.
El grupo Rheinmetall, conocido por su producción de armamento, fue víctima de un ataque después de que Planes para construir una fábrica de tanques en Ucrania había hecho público. Sin embargo, solo la parte civil del grupo se vio afectada.
En Alemania funciona Según «Tagesschau», la Oficina Federal para la Protección de la Constitución ahora está preocupada por ciertos ataques cibernéticos. para ver si no son criminales sino atacantes estatales detrás de esto.
Forni ve varios indicios de un ataque con motivaciones políticas: en Montenegro, por ejemplo, los ataques fueron coordinados y estaban dirigidos a numerosas autoridades al mismo tiempo. El rescate exigido también fue muy elevado y nunca llegó a pagarse, tal y como dijo Forni en la presentación. «Como operación criminal de ransomware, el ataque fue un fracaso».
Porque la lógica criminal de las pandillas es clara: quieren ganar dinero. Si la motivación financiera no es la razón principal, los atacantes deben tener otra razón para su acción. Para Forni, esto es un indicio de un ataque patrocinado por el estado.
Al menos el Kremlin da su visto bueno tácito
Durante mucho tiempo se ha asumido que existen vínculos entre los servicios secretos rusos y los ciberdelincuentes. Pero no hay evidencia clara de la cooperación, aparte de algunas conexiones personales. Los detalles de la colaboración también se desconocen.
Para el experto en seguridad informática Allan Liska, es indiscutible que siempre ha habido conexiones entre el Estado y los delincuentes: «No se pueden hacer sumas de dinero tan grandes en Rusia sin que el Kremlin dé su consentimiento, al menos tácitamente».
Los grupos de ransomware, cuyos patrocinadores a menudo se sospecha que están en Rusia, han robado cientos de millones de dólares en los últimos años. Las autoridades rusas no los molestaron mientras no estuvieran activos en Rusia y otros países exsoviéticos. Por lo tanto, Rusia se ha considerado durante mucho tiempo un refugio seguro para los ciberdelincuentes.
El ecosistema doméstico de bandas criminales de Rusia probablemente ya lo benefició antes de invadir Ucrania. Según Liska, que trabaja para la empresa de seguridad Recorded Future, los ciberdelincuentes transmitieron datos sospechosos de robo a los servicios secretos. «Si las pandillas encuentran información de interés para la comunidad de inteligencia, pueden pasársela al estado como tributo».
Los ataques criminales también pueden servir para encubrir los rastros de operaciones de espionaje estatal posteriores. Porque cualquiera que sea víctima del ransomware se distrae y, por lo general, configura los sistemas de TI desde cero.
Los servicios secretos también podrían utilizar el malware de los delincuentes para disfrazar el origen del ataque. La acción de espionaje estatal parece entonces un ataque criminal normal. O las agencias de inteligencia utilizan la infraestructura de lavado de dinero de los delincuentes para encubrir sus flujos financieros, como la firma de seguridad Recorded Future ya en 2021 en un informe descrito.
Los ciberataques criminales son parte de la guerra híbrida
La situación cambió con el ataque de Rusia a Ucrania. La guerra ha fortalecido los lazos entre los servicios de inteligencia y los ciberdelincuentes rusos. Liska de Recorded Future habla de indicios de que grupos criminales están realizando operaciones en nombre del Kremlin.
Al comienzo de la invasión rusa en febrero de 2022, Rusia utilizó el llamado software de limpieza para atacar a las autoridades y empresas en Ucrania. Este tipo de malware borra los datos de las máquinas infectadas, dejándolas inutilizables.
Pero después de unos meses, en otoño, hubo un cambio en el enfoque. El ransomware se observó repentinamente en ciberataques contra Ucrania. Sin embargo, a los atacantes no les interesaba el rescate, sino el sabotaje. El ransomware también se puede usar para esto, porque sin una clave para restaurar los datos, las computadoras quedan inutilizables.
En ese momento, las autoridades ucranianas incluso escribieron sobre una de las oleadas de ataques. perteneciente al grupo de ransomware Cuba, que participó en el ataque a Montenegro. Para los analistas de seguridad de Google, el Grupo Cuba ahora se está comportando más como un jugador que Operaciones de recopilación de información. lleva a cabo, es decir, lo que también hacen los servicios secretos.
Arrestos en Rusia poco antes del ataque
Si bien la mayoría de los objetivos de los ataques se encontraban en Ucrania en el otoño, el ransomware llamado Prestige también apuntó a empresas de transporte y logística en Polonia en octubre. Probablemente fue una de las pocas acciones de sabotaje dirigidas por Rusia contra la infraestructura de TI fuera de Ucrania.
Detrás del ataque de prestigio está de acuerdo con Microsoft el Unidad cibernética Gusano de arena por el servicio de inteligencia militar ruso GRU. Sandworm pudo haber querido disfrazar sus ataques como un trabajo criminal. El ransomware podría ser un medio de guerra híbrida para Rusia contra Occidente.
Este miedo existe desde febrero de 2022. El grupo de ransomware criminal Conti, por ejemplo, se posicionó políticamente del lado de Rusia unos días después de la invasión rusa. En los meses que siguieron, el grupo Trickbot, que tiene vínculos con Conti, llevó a cabo varias campañas de malware en Ucrania después de no afectar al país durante años.
Solo unas semanas antes, el 14 de enero, antes del ataque a Ucrania, la agencia de inteligencia nacional rusa FSB arrestó a varios miembros del notorio grupo de ransomware REvil. los criminales eran tras espectaculares ataques en verano de 2021 llamó la atención de los investigadores estadounidenses.
Es por eso que la redada en REvil se interpretó inicialmente como una señal de buena voluntad del Kremlin. Eso cambió abruptamente con el ataque a Ucrania. En los círculos de seguridad se habló de una señal de Rusia de que los ciberdelincuentes estaban bajo control.
Las autoridades rusas podrían haber alineado al menos a algunos de los ciberdelincuentes. Liska dice: «Casi parece que Rusia quiere aumentar sus unidades cibernéticas». Porque los preparativos para el ataque ruso también comenzaron con semanas y meses de antelación en el ciberespacio.
Grupos de activistas tienen vínculos con el Servicio Secreto
Rusia asegura que se mezclan las actividades y los motivos de los diferentes grupos en el ciberespacio. Así lo demuestra el ejemplo de los llamados hacktivistas. Estos grupos, con nombres como Killnet o Xaknet, han estado apareciendo desde el 24 de febrero de 2022, supuestamente realizando ciberataques por activismo político voluntario.
En la mayoría de los casos, estos son los llamados ataques DDoS técnicamente relativamente simples, que sobrecargan temporalmente los sistemas de TI. Sin embargo, estos ataques aún pueden derribar importantes servicios en línea como este. en el pasado, por ejemplo en Lituania o Noruega pasó. La autoridad europea de control de vuelos, Eurocontrol, fue víctima recientemente de este tipo de ataques.
Para el Kremlin, los ataques DDoS podrían ser una herramienta adecuada en el conflicto político con Occidente. Difícilmente causan daños físicos importantes y se puede negar la participación directa del Estado.
El hecho de que estos grupos lleven meses realizando estos ataques por motivos puramente patrióticos parece poco plausible. Además, la empresa de seguridad informática Mandiant ha descubierto ahora ciertas conexiones entre el grupo estatal de inteligencia militar APT 28 y Xaknet.
El conflicto con West restaría valor a la arena principal
Para Occidente, esta mezcla de criminales, hacktivistas y agencias de inteligencia es preocupante. El investigador Jakob Bund de Stiftung Wissenschaft und Politik en Berlín dice que Rusia podría estar interesada en usar tales acciones subversivas para sabotear el apoyo a Ucrania, o al menos para distraer a los estados occidentales y sus expertos cibernéticos.
Bund ve varios riesgos si Moscú usa ransomware para escalar el conflicto con Occidente. Los grupos criminales están fuera de la cadena de mando y por lo tanto son difíciles de controlar. «En algún momento, los ataques ya no serían negados», dice. Si Rusia ya no pudiera negar de manera creíble su responsabilidad, Occidente tendría que reaccionar ante los ataques en el ciberespacio. Escalaría.
La pregunta es si Rusia busca este conflicto intensificado con Occidente. Bund no ve señales de esto. Si el conflicto se intensificara, las fuerzas rusas se empantanarían y desviarían la atención del escenario principal, la guerra en Ucrania. “Moscú cambiaría su estrategia con eso”, dice Bund. Hasta ahora, Rusia ha tenido mucho cuidado de no golpear inadvertidamente objetivos fuera de Ucrania con sus ataques cibernéticos.
Sin embargo, Rusia no necesariamente tiene que permitir que el conflicto en el ciberespacio se intensifique. La amenaza de los ciberataques rusos por sí sola puede influir en la agenda política de Occidente. Por lo tanto, está claro para el gobierno federal: «Moscú se beneficia únicamente de la amenaza». Y esto sigue siendo creíble en el ciberespacio.