Un grupo pro ruso recluta hackers para atacar Ucrania a cambio de cripto-premios

Buscan voluntarios en la Dark Web y ofrecen recompensas en criptomonedas a los que efectúen los ataques más efectivos.

Anahí Di Santo.

Periodista.

Guardar

Ciberataques rusos
Ciberataques rusos

No es novedad que en la actualidad solo una parte de las guerras se disputa en las trincheras. Desde que comenzó la invasión rusa a Ucrania, se multiplicaron los ciberataques desde los dos lados de las fronteras digitales, y no tardaron en sumarse grupos de apoyo de todo el mundo, ya sean piratas informáticos, expertos en ciberseguridad o simplemente “actores malignos”.

Lo que resulta llamativo es una especie de “concurso de talentos” que ha lanzado el grupo pro ruso llamado NoName057(16), que ofrece premios a los “héroes”, tal como los llaman, que realicen ataques contra objetivos dentro de Ucrania y los países pro-ucranianos.

El proyecto se llama DDosia, y tuvo una versión anterior que apuntó contra organismos gubernamentales, ejércitos, agencias de noticias o instituciones financieras, entre otros objetivos de Ucrania, pero también de países proucranianos, según arroja la detallada investigación de Avast. En esa oportunidad, el ataque estaba en manos de los integrantes del mismo grupo, pero ahora la diferencia es que salieron a reclutar soldados para su causa a través de un canal de Telegram.

Apelando a la vez al desafío y la competencia entre los voluntarios, quien realice un número elevado de acciones puede recibir hasta 80.000 rublos rusos (poco más de 1.000 euros) en criptomonedas como Ethereum, BitCoin y Tether, detalla Martín Chlumecký, el autor de la citada investigación. Aunque las estadísticas que llevan cuenta de los ataques son falseables por cada atacante, y no hay información concreta sobre el pago de esos premios o si la organización posee los fondos suficientes como para cumplir con estos compromisos.

El nuevo Proyecto DDosia

Un DDoS (por sus siglas en inglés, Distributed Denial of Service) o ataque distribuido de denegación de servicio es la sobrecarga de un sitio o una red con tráfico de Internet no deseado, lo que provoca que las solicitudes normales no lleguen a su destino previsto. La forma más sencilla de realizar un DDoS es a través de una red de bots.

Durante 2022, NoName057(16) llevó a cabo una serie de ataques DDoS utilizando una botnet que infecta dispositivos con un malware llamado Bobik, un troyano diseñado para controlar remotamente las máquinas infectadas que puede causar infecciones en cadena, robar datos y añadir dispositivos comprometidos a una red de bots. Esto le dio a la organización una tasa de éxito del 40%.

Los objetivos fueron sitios web pertenecientes a gobiernos, agencias de noticias, ejércitos, proveedores, empresas de telecomunicaciones, autoridades de transporte, instituciones financieras y más en Ucrania y países vecinos que lo apoyan, como Estonia, Lituania, Noruega, y Polonia. Y se fueron sucediendo cada vez que alguno de estos países u organismos tomaba medidas en contra del Kremlin. La interrupción de los servicios podía durar de un par de horas a algunos días.

Ofrecen premios de hasta 80.000 rublos rusos (poco más de 1.000 euros) en criptomonedas como Ethereum, BitCoin y Tether para atacar organismos gubernamentales, ejércitos, medios, empresas de transporte o servicios financieros ucranianos o pro ucranianos

Luego esa botnet fue eliminada, y el grupo NoName057(16) intentó crear una nueva, paralela a la anterior, para facilitar los ataques DDoS. Así apareció este proyecto, que solo está disponible para usuarios verificados a través de un grupo semicerrado de Telegram, a diferencia del malware Bobik que se implementó en los dispositivos de las víctimas sin su conocimiento, explica Chlumecký. Esos dispositivos podían estar distribuidos (e infectados) por todo el mundo. En esta nueva embestida, los líderes de la organización sugieren a sus voluntarios usar un sercicio VPN, conectándose a través de servidores fuera de Rusia o Bielorrusia, ya que el tráfico de los dos países a menudo se bloquea en los países a los que se dirige el grupo.

La tasa de éxito de la actual campaña es de alrededor del 13%, y si bien la información disponible indica que el grupo cuenta con unos 1.000 integrantes, eso puede aumentar y con ello, el alcance de los ataques. El especialista de Avast considera que, por el momento, las actividades de NoName057(16) son "más molestas que peligrosas". Quizá el riesgo resida en la diversidad de ataques que pueda realizar esta comunidad de hackers que se está formando.