El grupo de hackers prorruso llamado NoName057(16) está especialmente activo en la últimas fechas. Y lo está porque actúa en paralelo a la situación política, muy agitada, y porque dento de este contexto ha tomado parte por las huested de Vladimir Putin. De hecho, en las últimas fechas están perpetrando importantes ataques a empresas e instituciones proucranianas, tanto en Ucrania como en países vecinos, como Estonia, Lituania, Noruega y Polonia. Se ha constatado que el grupo tiene una tasa de éxito del 40%. La investigación que nutre este artículo también ha puesto de relieve que el 20% de los éxitos reivindicados por el grupo podrían no ser obra suya.
Principales objetivos de NoName057(16)
NoName057(16) actúa por medio de ataques DDoS. A principios de junio, el grupo asaltó servidores de noticias ucranianos. Después, se enfocó en sitios web de ciudades, gobiernos locales, empresas de servicios públicos, fabricantes de armamento, empresas de transporte y oficinas de correos de Ucrania.
A mediados de junio, los ataques adquirieron una mayor motivación política. Los Estados Bálticos (Lituania, Letonia y Estonia) fueron un objetivo primordial para esta banda de piratas cibernéticos. A raíz de la prohibición del tránsito de mercancías sujetas a sanciones de la Unión Europea (UE), a través de su territorio hacia Kaliningrado, el grupo se centró en atacar a las empresas de transporte lituanas, al ferrocarril local y a las empresas de transporte en autobús.
40% de éxito en sus operaciones
NoName057(16) presume activamente de sus exitosos ataques DDoS a sus más de 14.000 seguidores en Telegram. Su canal fue modelado el 11 de marzo de 2022. El grupo sólo informa de los ataques DDoS que desarrollan con éxito.
"Aunque el número de ataques exitosos del grupo parece grande, la información estadística indica lo contrario", explica Martin Chlumecky, investigador de malware de Avast. "La tasa de éxito del grupo es del 40%. Comparamos la lista de objetivos que el servidor de C&C envía a los bots Bobik con lo que el grupo publica en su canal de Telegram. Los sitios web alojados en servidores bien protegidos pueden resistir los ataques. Alrededor del 20% de los ataques de los que el grupo dice ser responsable no coinciden con los objetivos que figuran en sus archivos de configuración”.
Grado de incidencia de los ataques en el usuario
Los ataques más logrados del grupo inutilizan los servicios del sitio durante varias horas o incluso días. Para hacer frente a los ataques, los operadores de sitios más pequeños y locales suelen recurrir a bloquear las consultas procedentes de fuera de su país. En casos extremos, algunos propietarios de sitios web atacados por el grupo anularon el registro de sus dominios.
"La potencia de los ataques DDoS realizados por NoName057(16) es, como mínimo, discutible. En un momento dado, pueden golpear con eficiencia unas trece direcciones URL a la vez, a juzgar por el historial de configuraciones, incluidos los subdominios", relata Martin Chlumecky. "Además, una configuración XML a menudo incluye un dominio definido como un conjunto de subdominios, por lo que Bobik ataca efectivamente cinco dominios diferentes dentro de una configuración. En consecuencia, no pueden centrarse en más dominios por motivos de capacidad y eficiencia".