Las agencias gubernamentales en Ucrania han sido interrumpidas por presuntos piratas informáticos rusos, borrando documentos y otros datos. Según un comunicado de prensa del Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania (CERT-UA), y detectado por Bleeping Computer, se han utilizado inicios de sesión de VPN del gobierno comprometidos para ejecutar el script RoarBAT en las PC del gobierno.
RoarBAT es un archivo por lotes que aprovecha la aplicación WinRAR legítima para buscar y archivar archivos, luego eliminarlos y luego eliminar el archivo. Los sistemas Linux no son inmunes y pueden estropearse de manera similar utilizando un script BASH y la utilidad dd estándar.
Se sospecha que los piratas informáticos involucrados pertenecen al grupo Sandworm con sede en Rusia. El éxito de la infiltración probablemente se debió a que los miembros de Sandworm pudieron iniciar sesión en los sistemas del gobierno de Ucrania utilizando VPN que no estaban muy bien protegidas. En el boletín de noticias, CERT-UA recuerda a los usuarios que habiliten la autenticación multifactor (MFA) en todas las cuentas que usan para acceder a los datos.
Los piratas informáticos parecen haber utilizado el script RoarBAT, o una versión modificada del mismo, para realizar sus actos cobardes. Este script busca archivos en las máquinas de destino. Selecciona archivos con extensiones que incluyen .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip , .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s y .sys, .dll, .exe, .bin, .dat y los envía a la aplicación WinRAR para archivado con la opción «-df». El uso de este modificador elimina los archivos de origen después de haberlos archivado. Posteriormente, el script de RoarBAT pasa a eliminar el archivo final.
El uso de este archivo por lotes es astuto debido a la omnipresencia de la herramienta de archivo WinRAR, una conocida aplicación legítima de Windows que existe desde hace décadas. CERT-UA dice que los actores de amenazas ejecutan su secuencia de comandos a través de una tarea programada, creada y distribuida de forma centralizada a los dispositivos en el dominio de Windows por medio de objetos de política de grupo (GPO).
Los datos en los sistemas Linux se pueden borrar de manera similar utilizando un script BASH, que aprovecha una herramienta de línea de comandos estándar para sobrescribir archivos específicos con cero bytes.
CERT-UA de Ucrania señala que el ataque descrito anteriormente es similar en algunos aspectos al destructivo alboroto de limpieza de archivos infligido a la agencia de noticias estatal ucraniana «Ukrinform» a principios de este año. Ese ataque también se atribuyó a Sandworm.