Las autoridades ucranianas informan que los piratas informáticos rusos han utilizado la herramienta de compresión de archivos WinRAR para borrar datos de las computadoras en varias agencias gubernamentales.
El Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania (se abre en una pestaña nueva) (CERT-UA) reclamos (a través de Bleeping Computer (se abre en una pestaña nueva)) que los piratas informáticos rusos, posiblemente el infame grupo Sandworm, adquirieron cuentas VPN comprometidas que a su vez proporcionaron acceso a las redes estatales oficiales de Ucrania.
Aparentemente, los piratas informáticos utilizaron el script RoarBAT, que busca archivos en la máquina objetivo con extensiones que incluyen .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, . zip, .rar, .7z y varios más, antes de archivar los archivos con WinRAR y aplicar la opción «-df». El uso de esta opción elimina automáticamente los archivos de origen después de archivarlos. El script RoarBAT luego elimina los archivos archivados, lo que provoca la pérdida total de datos.
El hackeo es posible gracias a la ubicuidad de WinRAR en las PC modernas. Aparentemente, los sistemas Linux no son inmunes al ataque y pueden verse comprometidos usando un script BASH y la utilidad dd estándar, sea lo que sea que eso signifique.
CERT-UA de Ucrania dice que este último ataque es sospechosamente similar a otro ataque a principios de este año contra la agencia de noticias estatal ucraniana «Ukrinform» a principios de este año que se atribuyó al grupo Sandworm.
“El método de implementación del plan malicioso, las direcciones IP de los sujetos de acceso, así como el hecho de utilizar una versión modificada de RoarBat dan testimonio de la similitud con el ciberataque a Ukrinform”, dice CERT-UA.
Como era de esperar, también dice que todos los agentes del gobierno ucraniano deberían reforzar la seguridad de su VPN mediante la activación de la autenticación multifactor. Lo que probablemente también sea una lección para todos nosotros.