Amenazas constantes están detrás de la ciberguerra de Rusia contra Ucrania

La guerra en Ucrania va más allá del despliegue de los tanques rusos y está presente una ofensiva más silenciosa sobre la que los expertos llevan semanas alertando: la guerra cibernética. Desde EL CORREO contactamos con Tarlogic Security, la firma de ciberseguridad de Miguel y Andrés Tarascó que nació en hace once años en Teo. En concreto, el director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security, José Lancharro y José Miguel Gómez-Casero, Manager de Threat Hunting de BlackArrow analizan los tipos de ciberataques, los peligros a los que se enfrentan las empresas y el escenario actual para el resto de países.

Desde que se inició el conflicto militar armado por Moscú el pasado 24 de febrero, desde Tarlogic observan que se empiezan a organizar grupos afines a gobiernos, tanto el ruso como el ucraniano, para seleccionar objetivos concretos contra empresas de ambos países. Los riesgos, en el plano de ciberseguridad, son muy diversos, pero de entre los principales y conocidos destacan los siguientes: las denegaciones de servicio, con el objeto de inutilizar, aunque sea temporalmente, el correcto funcionamiento de la empresa objetivo. De entre algunos de los ejemplos vividos estos días destacan las webs gubernamentales rusas que han dejado de funcionar (mi.ru) o el despliegue del malware HermeticWiper, cuyo objetivo es corromper o borrar datos de los discos duros de sistemas ucranianos.

Otro de los riesgos vendría marcado por el compromiso de las empresas objetivo para obtener y exfiltrar información sensible o bien difundir ideología/propaganda mediante la manipulación de la web corporativa. En este sentido, existen grupos de telegram, difundidos por Ministerios del Gobierno ucraniano, donde se invitan a colaboradores afines a una lista concreta de empresas rusas. También está presente la desinformación en redes sociales y los ataques en Ransomware, como es el caso de la potencial colaboración del grupo Conti con el Gobierno ruso.

una amplia lista de recomendaciones frente a ataques cibernéticos. Contra estas amenazas se deben tomar una serie de medidas. “Es necesario considerar a las amenazas en todo momento, y no únicamente en situación de guerra híbrida”, valora el equipo de Tarlogic.

En estos momentos los expertos cibernéticos asisten con gran preocupación cómo algunas organizaciones están tomando medidas elementales en estos momentos (como podría ser el cambio de contraseñas), “cuando deberían tomarse de forma continua y bajo cualquier contexto”.

Al preguntarles por las medidas que se deberían tomar en este contexto los expertos aseguran que hay una lista “muy amplia” teniendo en cuenta que tenemos delante “una realidad compleja”. La utilización de MFA (Multi Factor Authentication) para autenticar en servicios corporativos, la correcta política de parcheado, bastionado de equipos, segmentación tanto de la red como a nivel de dominios internos, mantener el principio de otorgar los mínimos privilegios a empleados, suficientes para que puedan desempeñar su trabajo, los sistemas de monitorización y respuesta ante intrusos, los servicios de respuesta ante incidentes o la concienciación de seguridad para los empleados son algunas de las recomendaciones de una larga lista.

¿paralización de los sistemas o uso extraordinariamente elevado de los servicios? Por ahora los ataques conocidos se concentran fundamentalmente en empresas rusas o ucranianas, aunque son conocedores de grupos rusos (p.e.APT28 y 29) que históricamente han tenido como target a instituciones o personalidades de la OTAN. Como empresa media en España, por el momento no perciben una focalización concreta, pero también es cierto que “el conflicto no ha hecho más que comenzar y escala de un día para otro”. Así, no sería descartable ninguna hipótesis.

En los últimos días se paralizaron los sistemas informáticos de instituciones y entidades financieras en Kiev. En concreto se habla de que los cajeros automáticos en Ucrania dejaron de funcionar aparentemente como consecuencia de ciberataques. Sobre esta cuestión, José Lancharro y José Miguel Gómez-Casero no confirman si esto es así o es fruto de una caída por un uso extraordinariamente elevado de los servicios. Lo que sí pueden constatar es que grupos como SandWorm, GyberGhost, Conti, Cooming Project o Free Civilian están apoyando públicamente al Gobierno de Rusia, mientras que grupos como AgainstTheWest, Belarusian Cyber Partisans, GhostSec, IT Army of Ukraine, KelvinSecurity o Anonymous están apoyando públicamente al Gobierno ucraniano.

“No se descarta que otras amenazas muy cercanas a la inteligencia rusa, y menos públicas, también puedas estar muy activas en estos momentos”, destacan.

el ataque DDos del 15 de febrero a Ucrania Ucrania ya sufrió en enero y el pasado 15 de febrero masivos ciberataques, en los que vio la huella de Rusia. El de medidados de febrero fue catalogado como el mayor ciberataque de la historia del país. Según información proporcionada por el CERT (Equipo de Respuesta para Emergencias Informáticas) de Ucrania, el ataque ha utilizado una red de bots (variante de la conocida Mirai) para realizar ataques de denegación de servicio contra instituciones ucranianas. Desde Tarlogic desconocen volumetrías, pero hasta donde ha revelado el CERT de Ucrania el ataque de DDoS ha sido catalogado como “moderado”. Los expertos nos explican que un ataque DDoS consiste en la utilización concurrente de recursos informáticos, más allá de los que los sistemas pueden soportar. De este modo, una red de bots podrían literalmente “inundar” de tráfico o peticiones a un sistema informático y como consecuencia no poder atender a tráfico o peticiones legítimas.

Esta guerra cibernética larvada no afecta a la empresa de origen teense, más allá de que sus equipos de Threat Hunting están siguiendo con gran detenimiento e investigando las nuevas amenazas que puedan producirse a lo largo del conflicto. Veremos como evoluciona la ciberguerra de Rusia contra Ucrania que ya viene muy de atrás.