Lourdes Mora Haro_S21sec
Lourdes Mora Haro Team Leader del equipo de Inteligencia S21Sec

Ciberguerra Rusia-Ucrania: Una guerra virtual antes que militar

ciberguerra Rusia Ucrania

El 24 de febrero Rusia comenzó una «operación militar especial» en territorio ucraniano, calificada como invasión con técnicas bélicas. El avance ruso tenía como objetivo inicial hacerse con el control de las principales ciudades ucranianas. Distintos países y organizaciones internacionales han condenado los hechos, mostrando apoyo a Ucrania a través del ofrecimiento de distintos medios de combate y apoyo institucional e imponiendo sanciones económicas e institucionales a Rusia.

Ante la oposición del ejército y de la ciudadanía ucraniana, el Kremlin ha ido modificando la estrategia de la invasión, centrando sus tropas en la región del Donbás con el fin de crear un corredor con Crimea.

Con un número importante de bajas en ambos bandos, la sospecha de crímenes de guerra cometidos por el ejército ruso, y con alrededor de seis millones de refugiados, el conflicto se ha convertido en el más importante de los últimos 50 años en Europa, pronosticándose una duración a medio-largo plazo unida a un panorama de amenazas cibernéticas junto con la sombra de una posible guerra nuclear.

Ciberguerra

Previo a la invasión rusa en Ucrania, le precedieron acciones cibernéticas que se materializaron en ataques dirigidos y ciberacciones de despliegue de malware destructivo a organizaciones e infraestructuras críticas ucranianas.

A pesar de que la comunidad mundial de ciberseguridad pronosticó un escenario de alto impacto dado el historial, capacidad y potencial cibernético ofensivo de Rusia, la evolución de la ciberguerra ha demostrado que, si bien se han dado operaciones cibernéticas importantes, Rusia no ha cumplido con los pronósticos de ataques ofensivos significativos, salvo los registrados al principio del conflicto y otras acciones acompañadas de campañas de phishing, malspam u operaciones cibernéticas de desinformación.

En este contexto, el ciberespacio se ha convertido en un escenario sin precedentes en cuanto a la participación de actores y acciones a favor de los distintos bandos, extendiéndose así la ciberguerra al ámbito internacional. En este sentido, gobiernos occidentales han alertado a sus empresas y entidades gubernamentales ante la posibilidad de ciberataques e instado a reforzar la seguridad.

Amenazas

El panorama de amenazas surgido de la guerra en Ucrania es amplio y comprende ataques de malware destructivo, ransomware, campañas de phishing y malspam y ataques hacktivistas (defacement, de denegación de servicio, filtraciones de datos…).

En cuanto a los ataques de malware destructivo (Wiper), a raíz de la invasión de Ucrania, se han observado diversos wipers dirigidos a entidades ucranianas en el período previo inmediato y durante los primeros dos meses y medio de la guerra. Se han observado varios wiper cuyo objetivo principal es destruir los sistemas a los que se dirige o eliminar datos dentro de los mismos, provocando grandes daños a las empresas afectadas.

El primer wiper observado en el contexto de la guerra fue el llamado Whispergate, el pasado 13 de enero de 2022, previo a la invasión. Posteriormente, el 24 de febrero, los atacantes rusos lanzaron el malware IsaacWiper. El 14 de marzo se observó un ataque con CaddyWiper. Además, fueron observados otros malware conocidos como Hermetic Wiper (también llamado FoxBlade), HermeticWizard (propaga el anterior) y HermeticRansom (o PartyTicket).

Previo a la invasión rusa en Ucrania, le precedieron acciones cibernéticas que se materializaron en ataques dirigidos y ciberacciones de despliegue de malware destructivo a organizaciones e infraestructuras críticas ucranianas

Al mismo tiempo, durante el mes de marzo se detectaron los malware DoubleZero y AcidRain Wiper o Cyclops Blink. Posteriormente, a mediados de abril, se informó de un ciberataque a gran escala contra subestaciones eléctricas de una compañía energética ucraniana en el que se utilizó una nueva variante del malware Industroyer conocida como Industroyer2, la cual hace uso de CaddyWiper con técnicas nuevas. El ataque tenía como objetivo sistemas como Linux y Solaris en la subestación eléctrica afectada.

Recientemente se han publicado informes en los que se atribuyen estos ataques a actores estado-nación alineados con Rusia, quienes habrían lanzado más de 200 operaciones contra objetivos ucranianos, además de otros ataques que alcanzan a otros estados miembros de la OTAN. Es muy probable que estas operaciones cibernéticas disruptivas de despliegue de malware destructivo contra objetivos estratégicos ucranianos se hayan desplegado de manera sincronizada con la acción militar del gobierno ruso, al considerar los ataques cibernéticos como un complemento importante de la guerra.

Ataques de ‘ransomware’

Campañas de phishing y malspam. A lo largo de las últimas jornadas se ha detectado la distribución de diferentes campañas de phishing destinadas al robo de credenciales e información personal de usuarios. Estas operaciones maliciosas, dirigidas contra un amplio público heterogéneo, destaca la variedad de objetivos y usuarios sobre los que está impactando, el uso de diversas técnicas y las referencias al conflicto entre Rusia y Ucrania. Generalmente, estas campañas se basan en la distribución de correos electrónicos que utilizan como señuelo diversas temáticas.

En esta línea, también se han detectado diversos ejemplos de estafas cibernéticas mediante la proliferación de las páginas web falsas y dominios fraudulentos que mencionan a Ucrania a través de las cuales se insta a las víctimas a realizar donaciones supuestamente destinadas a ayudar a la población y realizar pagos en presunta ayuda a colectivos ucranianos (ciudadanos y grupos de población en peligro). Incluso se hacen pasar por sitios web de apoyo humanitario especializado.

Estas campañas de phishing y malspam, junto con estafas cibernéticas, han experimentado un crecimiento tanto en número como en organizaciones suplantadas, haciéndose pasar por instituciones tan amplias como el gobierno ucraniano, Act for Peace, UNICEF y el Fondo de Ayuda para la Crisis de Ucrania. Igualmente, este tipo de fraudes han sido detectados en diversas redes sociales como Twitter, Facebook e Instagram, así como canales de mensajería como Telegram.

Te interesa: Ploutus-D: una nueva generación de ‘malware’ ATM.

Hacktivismo. La ciberguerra se ha caracterizado por una intensa y continuada actividad hacktivista encabezada por Anonymous y dirigida contra Rusia. Además, ha favorecido el protagonismo de otros actores hacktivistas que han llevado a cabo gran cantidad de ataques observados basados en defacements de sitios web, ataques DDoS y DoS y filtraciones de bases de datos e información confidencial de organismos gubernamentales y empresas pertenecientes a diversos sectores. En este sentido, nunca antes se había observado tal nivel de participación de actores externos no relacionados con el conflicto, tanto piratas informáticos como voluntarios y grupos hacktivistas.

En este contexto, los actores han tomado partido por uno de los bandos. En el caso de Ucrania, el gobierno ucraniano llevó a cabo un reclutamiento masivo de expertos en seguridad informática que implicó la participación de hackers a escala mundial. Estos voluntarios cibernéticos se unieron al ejército denominado «It Army of Ukraine».

Por otro lado, el colectivo Anonymous también destaca como uno de los actores hacktivistas más activos durante el conflicto a través de su operación #OpRusia. Anonymous amenazó a empresas occidentales que operan en Rusia, dando un plazo de 48 horas para dejar de cooperar con el país, extendiendo así la amenaza sobre empresas internacionales localizadas en territorio ruso. Como ejemplos de ataques, el 24 de marzo se dirigieron a tres compañías francesas a través de ataques DDoS contra los sitios web rusos de Auchan, Leroy Merlin y Decathlon.

ciberguerra Rusia Ucrania

Actores de la ciberguerra

En el conjunto de ciberataques relacionados con el conflicto entre Rusia y Ucrania se han detectado más de 66 actores distintos que han llevado a cabo acciones durante los meses de guerra. Se estima que la cifra negra de ciberataques es elevada, siendo posible que se desconozca así un porcentaje de incidentes llevados a cabo.

Realizando una diferenciación por los dos bandos existentes, se debe tener en cuenta que el porcentaje del número de ataques recogidos (hasta el día 11 de mayo) contra entidades rusas es del 69,62 por ciento, mientras que el de Ucrania desciende al 13,5.

  1. Rusia. Los actores prorrusos con mayor actividad desde el mes de febrero son KillNet (8%), «XakNet + KillNet» (7,1%) y amenazas persistentes avanzadas (APT) rusas (4,2%). Durante las seis semanas iniciales del conflicto, los actores XakNet y KillNet llevaron a cabo acciones cibernéticas contra objetivos ucranianos y de aquellos países y organismos que mostraron su apoyo a Ucrania. A partir de abril, dicha relación cambió, siendo los ataques llevados a cabo por dichos grupos, reclamados de forma independiente, por lo que se debe considerar a KillNet como el actor con más actividad a favor de Rusia. Y eso teniendo en cuenta no únicamente el ocho por ciento de ataques globales en solitario, sino también aquellos en colaboración de XakNet. A su vez, distintas APT rusas han efectuado ciberataques contra el bando ucraniano, entre las que se pueden destacar Fancy Bear y Red Delta.
  2. Ucrania. Por el lado de apoyo a Ucrania, caben destacar los tres grupos más activos durante este periodo: IT Army of Ukraine (24,15%), Anonymous (14,56%) y AgainstTheWest/BlueHornet (10,47%). El grupo conocido como IT Army of Ukraine se denomina como una comunidad de piratas informáticos de múltiples nacionalidades y niveles de experiencia que llevan a cabo acciones cibernéticas contra Rusia y sus aliados como respuesta a la acción bélica. El grupo hacktivista Anonymous es el segundo más activo, realizando múltiples campañas contra instituciones públicas rusas. Por último, cabe destacar el grupo AgainstTheWest/ BlueHornet, quien ha efectuado múltiples ciberataques como filtraciones y brechas de datos contra objetivos pertenecientes a países que han mostrado su apoyo al Kremlin.

Afectación

Los ciberataques llevados a cabo en el plano de la ciberguerra (hasta el 11 de mayo) han afectado a la práctica totalidad de los sectores productivos y a instituciones políticas tanto nacionales como supranacionales. A continuación, se muestran los cinco sectores más afectados por las acciones cibernéticas:

Sector Número de ataques Porcentaje sobre el total
Gobierno y Administración 165 29,30%
Financiero 72 12,78%
Tecnológico 39 6,92%
Energético 28 4,97%
Transporte 26 4,61%

 

El sector más afectado ha sido el de las instituciones de gobierno y administraciones públicas, con casi un 30 por ciento del total de los ataques. Los más afectados han sido los ayuntamientos y ministerios de los países involucrados. Por otro lado, el sector financiero ha sido duramente golpeado debido a su importancia en la sociedad y en la economía. Las empresas afectadas de los sectores tecnológico, energético y de transporte cobran gran importancia como consecuencia de que se sitúan en muchos casos como infraestructuras críticas para un país, de las cuales depende su economía y viabilidad.

Prospectiva de la ciberguerra

En la medida que la invasión de Ucrania continúa, el alcance y afectación de la ciberguerra seguirá siendo motivo de preocupación para todas las empresas y organizaciones mundiales, especialmente en aquellos sectores estratégicos, infraestructuras críticas o de tecnología operativa, sistemas bancarios o redes de tecnología de la información.

Tras meses de conflicto bélico, la proliferación de operaciones de sabotaje a través de malware destructivo como la familia de los wiper continúa de manera dirigida contra las organizaciones ucranianas con el objetivo de destruir los sistemas y redes informáticas dejándolos inoperativos. Recientemente se ha atribuido la autoría de estos ataques a actores de amenazas con patrocinio ruso.

A pesar de que Rusia tenía previsto una invasión de corta duración, es posible que la guerra se extienda al igual que la duración del conflicto en el espacio cibernético internacional, intensificándose los ataques y acciones de todo tipo. En este contexto, la ciberguerra continuará siendo uno de los componentes de la guerra híbrida como parte de las técnicas utilizadas por Rusia para acompañar la invasión por tierra.

Durante el desarrollo de la guerra y la ciberguerra, el alcance de los ataques se ha extendido a otros países y organizaciones internacionales debido al posicionamiento de países occidentales y organizaciones como la OTAN y la Unión Europea a favor de Ucrania. En este sentido, existe un riesgo potencial de ciberataque dirigido a objetivos estratégicos como, por ejemplo, fue la celebración de la Cumbre de la OTAN en Madrid.