Casi un mes y medio antes de que Rusia comenzara su invasión a Ucrania, Microsoft alertó sobre un "destructivo" malware dirigido a múltiples entidades ucranianas. Lo descubrió el 13 de enero de 2022, el mismo día del ciberataque masivo que sufrieron varios organismos estatales ucranianos, cuyas páginas web fueron hackeadas. Desde que empezó la guerra, exactamente el 24 de febrero de 2022, el gigante tecnológico no ha dejado de analizar el panorama de ciberseguridad vinculado a ella y este miércoles ha publicado un nuevo informe en el que advierte que Rusia no solo "va a continuar realizando ciberataques de espionaje contra Ucrania y sus aliados", sino que también va a seguir lanzando "destructivos ataques dentro y potencialmente fuera de Ucrania".
Como ejemplo del segundo caso, Microsoft cita Prestige, el ransomware que el pasado mes de octubre se dirigió contra varias empresas de transporte y logística en Ucrania y Polonia, y que, al mes siguiente, la compañía vinculó al grupo de ciberdelincuentes ruso Iridium, también conocido como Sandworm.
En su informe, titulado "Un año de la guerra híbrida de Rusia en Ucrania", Microsoft señala que Sandworm está alineado con la inteligencia militar rusa GRU y que parece estar preparando una "renovada campaña destructiva".
"Al igual que a finales de 2022, el actor de amenazas también puede haber sido probando capacidades adicionales de estilo ransomware que podría usarse en ataques destructivos contra organizaciones fuera de Ucrania que cumplen funciones clave en las cadenas de suministros ucranianas. La operación del ransomware Prestige contra una empresa polaca a finales de 2022 ofrece una precedente de tales ataques", alerta Clint Watts, director general del Centro de Análisis de Amenazas Digitales de Microsoft, en una publicación del blog de la empresa tecnológica.
La ciberactividad rusa desde el comienzo de la guerra
En el informe, elaborado por el equipo de investigación y análisis de ciberseguridad de Microsoft, la compañía comparte todo lo que ha aprendido hasta ahora sobre las técnicas que utiliza Rusia en sus ciberataques y las pistas que extrae de cara al futuro dentro esta guerra híbrida.
Desde que comenzó la guerra, Rusia ha desplegado al menos nueve familias de 'malware' de tipo 'wiper' –que borra toda la información almacenada en los equipos o sistemas afectados– y dos variedades de ransomware –que encripta el sistema y reclama el pago de un recate para recuperar el acceso –contra más de un centenar de organizaciones ucranianas.
¿Qué es el ramsomware y cómo evitarlo? Por el Jefe del Grupo de Delitos Tecnológicos de la UTPJ.
"En 2023, Rusia intensificó sus ataques de espionaje, apuntando a organizaciones de al menos 17 países europeos, en su mayoría agencias gubernamentales", afirma Watts.
Según indica, los ataques con 'wipers' siguen amenazando a Ucrania y podrían aparecer nuevas variantes de ransomware, por lo que su equipo continúa monitorizando su posible desarrollo e implementación.
Por otra parte, destaca que la guerra híbrida de Rusia también ha incluido "sofisticadas operaciones de influencia" y campañas de desinformación. "Por ejemplo, la maquinaria de propaganda de Moscú ha apuntado recientemente a las poblaciones de refugiados ucranianos en toda Europa, tratando de convencerlos de que podrían ser deportados y reclutados por el ejército ucraniano".
"Las operaciones de influencia alineadas con Rusia también han aumentado recientemente las tensiones en Moldavia. Los medios rusos promovieron protestas apoyadas por un partido político prorruso que alentaba a los ciudadanos a exigir que el gobierno pague las facturas de energía de invierno.Otra campaña alineada con Rusia llamada 'Moldova Leaks' publicó supuestas filtraciones de políticos moldavos, solo una de varias operaciones de pirateo y filtración destinadas a sembrar la desconfianza entre los ciudadanos europeos y sus gobiernos", expone Watts.
Según subraya el informe, las campañas de propaganda respaldadas por el Kremlin difundidas en Ucrania "han tenido poco impacto", pero los piratas informáticos "afiliados al estado ruso y los actores de influencia no han sido disuadidos y van a seguir buscando estrategias alternativas dentro y fuera de Ucrania".
Moscú está fracasando en su guerra hibrida
Esta es una de las principales conclusiones de Microsoft, como deja bien claro al principio del informe escribiendo esta introducción: "Antes de la invasión a gran escala de Ucrania por parte de Rusia el 24 de febrero de 2022, muchos observadores esperaban que una guerra híbrida, como la observada cuando Rusia invadió Donbas y anexó Crimea ilegalmente en 2014, implicaría combinar armas cibernéticas, operaciones de influencia y fuerza militar para sobrepasar rápidamente las defensas ucranianas. Ahora, un año después de su invasión a gran escala, las fuerzas armadas rusas han provocado una devastación física en Ucrania, pero no ha logrado sus objetivos, en parte porque las operaciones paralelas cibernéticas y de influencia de Moscú en gran medida han fracasado".
Para Watts, este fracaso se debe al sólido compromiso de los defensores de las redes ucranianas e internacionales y a una población fortalecida contra los esfuerzos de propaganda rusa, los cuales han negado al Kremlin la rápida victoria que esperaba.
El experto en ciberseguridad de Microsoft también aborda otras dos tendencias generales importantes destacadas en el informe. La primera es que la ciberactividad rusa "ha ajustado sus objetivos y técnicas, ampliando sus accesos en apoyo de la recopilación de inteligencia sobre Ucrania y apoyando los activos civiles y militares de las naciones, y preparándose para ataques destructivos en Ucrania y posiblemente más allá".
"El desarrollo de nuevas formas de ransomware es un ejemplo de esto, pero otros incluyen el uso de las redes sociales para comercializar software pirateado y de puerta trasera para audiencias ucranianas que, posteriormente, permite el acceso inicial a las organizaciones y dirigir campañas de phishing a servidores locales vulnerables en el gobierno, TI y organizaciones de respuesta a desastres en Europa".
Y la segunda tendencia podría considerarse más bien un aviso, ya que Watts la revela con esta afirmación: "no hay fronteras geográficas fuera de los límites de los intentos de ataques rusos". Y agrega:
"Los actores de amenazas cibernéticas con vínculos conocidos o sospechosos con los servicios de inteligencia de Rusia han intentado obtener acceso inicial a organizaciones gubernamentales y relacionadas con la defensa no solo en Europa Central y Oriental sino también en las Américas".
"Microsoft se enorgullece de haber apoyado la defensa digital de Ucrania"
El director general del Centro de Análisis de Amenazas Digitales de Microsoft concuye su publicación subrayando que su objetivo al hacer pública esta información es preparar a sus clientes y a la comunidad global ante "el riesgo indirecto que plantean los objetivos recientes" y ofrecer recomendaciones para fortalecer las defensas digitales.
"Microsoft se enorgullece de haber apoyado la defensa digital de Ucrania desde el comienzo de la invasión rusa y toda la comunidad de inteligencia de amenazas de la empresa sigue comprometida con la detección, evaluación y protección contra los ataques cibernéticos rusos y las provocaciones en línea a medida que el conflicto entra en su segundo año", remata Watts.