Las agencias gubernamentales en Ucrania han sido interrumpidas por presuntos piratas inform\u00e1ticos rusos, borrando documentos y otros datos. Seg\u00fan un comunicado de prensa del Equipo de Respuesta a Emergencias Inform\u00e1ticas del Gobierno de Ucrania (CERT-UA), y detectado por Bleeping Computer, se han utilizado inicios de sesi\u00f3n de VPN del gobierno comprometidos para ejecutar el script RoarBAT en las PC del gobierno.<\/p>\n
RoarBAT es un archivo por lotes que aprovecha la aplicaci\u00f3n WinRAR leg\u00edtima para buscar y archivar archivos, luego eliminarlos y luego eliminar el archivo. Los sistemas Linux no son inmunes y pueden estropearse de manera similar utilizando un script BASH y la utilidad dd est\u00e1ndar.<\/p>\n
Se sospecha que los piratas inform\u00e1ticos involucrados pertenecen al grupo Sandworm con sede en Rusia. El \u00e9xito de la infiltraci\u00f3n probablemente se debi\u00f3 a que los miembros de Sandworm pudieron iniciar sesi\u00f3n en los sistemas del gobierno de Ucrania utilizando VPN que no estaban muy bien protegidas. En el bolet\u00edn de noticias, CERT-UA recuerda a los usuarios que habiliten la autenticaci\u00f3n multifactor (MFA) en todas las cuentas que usan para acceder a los datos.<\/p>\n Los piratas inform\u00e1ticos parecen haber utilizado el script RoarBAT, o una versi\u00f3n modificada del mismo, para realizar sus actos cobardes. Este script busca archivos en las m\u00e1quinas de destino. Selecciona archivos con extensiones que incluyen .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip , .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s y .sys, .dll, .exe, .bin, .dat y los env\u00eda a la aplicaci\u00f3n WinRAR para archivado con la opci\u00f3n \u00ab-df\u00bb. El uso de este modificador elimina los archivos de origen despu\u00e9s de haberlos archivado. Posteriormente, el script de RoarBAT pasa a eliminar el archivo final.<\/p>\n El uso de este archivo por lotes es astuto debido a la omnipresencia de la herramienta de archivo WinRAR, una conocida aplicaci\u00f3n leg\u00edtima de Windows que existe desde hace d\u00e9cadas. CERT-UA dice que los actores de amenazas ejecutan su secuencia de comandos a trav\u00e9s de una tarea programada, creada y distribuida de forma centralizada a los dispositivos en el dominio de Windows por medio de objetos de pol\u00edtica de grupo (GPO).<\/p>\n Los datos en los sistemas Linux se pueden borrar de manera similar utilizando un script BASH, que aprovecha una herramienta de l\u00ednea de comandos est\u00e1ndar para sobrescribir archivos espec\u00edficos con cero bytes.<\/p>\n