• Home /

  • Ciberseguridad /

  • Los ciberatacantes a las webs ucranianas accedieron a la red gubernamental en 2021, según una investigación

Los ciberatacantes a las webs ucranianas accedieron a la red gubernamental en 2021, según una investigación

Los ciberatacantes emplearon credenciales robadas para obtener acceso inicial a los sistemas, a juicio de los investigadores, y probablemente tuvieron acceso a la red desde el verano de 2021.

Guardar

Ucrania ciberataques ciberseguridad
Ucrania ciberataques ciberseguridad

El malware que el pasado 13 de enero se instaló en 80 sitios web gubernamentales de Ucrania comparte similitudes estratégicas con NotPetya, otro malware que en 2017 también tuvo a Ucrania como principal víctima -aunque también afectó a otros países, como España-, y que causó daños por casi diez mil millones de euros, según han destacado analistas de la división de inteligencia de amenazas Talos de Cisco.

Estos analistas, a raíz de esta relación, han avisado de que cualquier organización con conexiones con Ucrania debería “considerar cuidadosamente cómo aislar y monitorear esas conexiones para protegerse de posibles daños colaterales”, tal y como publica Cyberscoop.

Aunque ese ataque ha sido relativamente simple y los sitios se restauraron en poco tiempo, el malware conocido como WhisperGate borró siete estaciones de trabajo de una agencia y una serie de estaciones de trabajo y servidores en una segunda agencia.

Los investigadores de Talos han destacado que WhisperGate era similar al empleado en 2017 en el sentido de que también se disfrazó de ransomware mientras apuntaba y destruía el registro de arranque principal (MBR) en lugar de cifrarlo. Pero una diferencia clave es que WhisperGate tiene "más componentes diseñados para infligir daño adicional".

Los ciberatacantes emplearon credenciales robadas para obtener acceso inicial a los sistemas, a juicio de los investigadores, y probablemente tuvieron acceso a la red durante meses antes del ataque, "una característica típica de las operaciones sofisticadas de amenazas persistentes avanzadas (APT)". Talos ha informado de que los atacantes tenían acceso a los sistemas objetivo desde fines del verano de 2021.