Los piratas informáticos patrocinados por el estado ruso han borrado los datos de los dispositivos que pertenecen a las redes estatales ucranianas gracias a las VPN mal protegidas y al malware. (se abre en una pestaña nueva) que abusa del popular programa de archivo WinRAR.
El Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania (CERT-UA) afirmó recientemente que un actor de amenazas ruso, que se cree que pertenece al grupo Sandworm, logró comprometer las redes estatales de Ucrania mediante el uso de cuentas VPN comprometidas que no tenían configurada la autenticación multifactor (MFA). arriba.
Después de obtener acceso, el pirata informático implementaría un malware denominado «RoarBat», que esencialmente borra las unidades afectadas.
Borrando todo
Lo que hace el malware es buscar en el disco archivos con diferentes extensiones, incluidos .doc, .txt, .jpg y .xlsx. Luego solicita a WinRAR que archive todos esos archivos y agrega la opción de línea de comandos «-df», que elimina todos los archivos que se están archivando.
Una vez que se realiza el trabajo, el malware elimina el archivo en sí mismo, esencialmente borrando todos los datos encontrados en el disco de una sola vez.
Los actores de amenazas también están apuntando a dispositivos Linux, afirmó además la agencia, diciendo que para ese sistema operativo, están usando un script Bash y la utilidad «dd» para sobrescribir los archivos de destino con cero bytes. «Debido a este reemplazo de datos, la recuperación de archivos «vaciados» con la herramienta dd es poco probable, si no completamente imposible», afirma BleepingComputer.
Esta no es la primera vez que un ataque de este tipo tiene como objetivo las redes estatales de Ucrania, afirma CERT-UA. En enero de 2023, la agencia estatal de noticias del país, Ukrinform, también fue blanco de Sandworm:
«El método de implementación del plan malicioso, las direcciones IP de los sujetos de acceso, así como el hecho de utilizar una versión modificada de RoarBat dan testimonio de la similitud con el ciberataque a Ukrinform, cuya información se publicó en el canal de Telegram» CyberArmyofRussia_Reborn» el 17 de enero de 2023″. dijo CERT-UA.
La mejor manera de defenderse contra tales ataques es mantener el hardware y el software actualizados, habilitar MFA siempre que sea posible y limitar el acceso a las interfaces de administración tanto como sea posible.
Vía: BleepingComputer (se abre en una pestaña nueva)