Al menos seis actores diferentes alineados con Rusia lanzaron no menos de 237 ciberataques contra Ucrania desde el 23 de febrero hasta el 8 de abril, incluyendo 38 ataques destructivos discretos que destruyeron irremediablemente archivos en cientos de sistemas a través de docenas de organizaciones en el país.
«Colectivamente, las acciones cibernéticas y cinéticas trabajan para interrumpir o degradar las funciones gubernamentales y militares ucranianas y socavar la confianza del público en esas mismas instituciones», dijo la Unidad de Seguridad Digital (DSU) de la compañía en un informe especial.
Las principales familias de malware que se han aprovechado para la actividad destructiva como parte de los implacables ataques digitales de Rusia incluyen: WhisperGate, HermeticWiper (FoxBlade aka KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBlade, DoubleZero (FiberLake) e Industroyer2.
WhisperGate, HermeticWiper, IssacWiper y CaddyWiper son limpiadores de datos diseñados para sobrescribir datos y hacer que las máquinas no puedan arrancar, mientras que DoubleZero es un malware .NET capaz de borrar datos. DesertBlade, también un limpiador de datos, habría sido lanzado contra una empresa de radiodifusión no identificada en Ucrania el 1 de marzo.
SonicVote, por su parte, es un encriptador de archivos detectado junto con HermeticWiper para disfrazar las intrusiones como un ataque de ransomware, mientras que Industroyer2 está específicamente diseñado para atacar las redes tecnológicas operativas para sabotear la producción y los procesos industriales críticos.
Microsoft atribuyó HermeticWiper, CaddyWiper e Industroyer2 con una confianza moderada a un actor ruso patrocinado por el Estado llamado Sandworm (alias Iridium). Los ataques de WhisperGate se han vinculado a un clúster hasta ahora desconocido apodado DEV-0586, que se cree que está afiliado a la inteligencia militar rusa GRU.
Se estima que el 32% del total de los 38 ataques destructivos se dirigieron a organizaciones gubernamentales ucranianas a nivel nacional, regional y municipal, y que más del 40% de los ataques se dirigieron a organizaciones de sectores de infraestructuras críticas de las naciones.
Además, Microsoft dijo que observó que Nobelium, el actor de la amenaza al que se atribuye el ataque a la cadena de suministro de SolarWinds en 2020, intentaba penetrar en las empresas de TI que prestan servicios a los clientes gubernamentales de los Estados miembros de la OTAN, utilizando el acceso para desviar los datos de las organizaciones de política exterior occidentales.
Otros ataques maliciosos consisten en campañas de phishing dirigidas a entidades militares (Fancy Bear aka Strontium) y funcionarios del gobierno (Primitive Bear aka Actinium), así como en operaciones de robo de datos (Energetic Bear aka Bromine) y de reconocimiento (Venomous Bear aka Krypton).
«El uso de ciberataques por parte de Rusia parece estar fuertemente correlacionado y a veces directamente sincronizado con sus operaciones militares cinéticas dirigidas a servicios e instituciones cruciales para los civiles», dijo Tom Burt, vicepresidente corporativo de seguridad y confianza de los clientes.
«Teniendo en cuenta que los actores de las amenazas rusas han estado reflejando y aumentando las acciones militares, creemos que los ciberataques seguirán aumentando a medida que el conflicto se recrudece. Es probable que los ataques que hemos observado sean sólo una fracción de la actividad dirigida a Ucrania.»
«El número de ciberataques en Ucrania aumentará durante los próximos seis meses», dijo la empresa rusa de ciberseguridad Kaspersky en su propio análisis de las ofensivas en Ucrania el mes pasado. «Aunque la mayoría de los ataques actuales son de baja complejidad -como los DDoS o los ataques que utilizan herramientas básicas y de baja calidad- también existen ataques más sofisticados, y se espera que haya más.»