Rusia ataca con malware y ataques DDoS a cientos de webs de Ucrania

Cientos de webs ucranianas están sufriendo ataques cibernéticos en las últimas horas. A los ataques DDoS que han provocado la caída de servidores se le suma ahora un nuevo malware encargado de borrar datos. La empresa de seguridad informática ESET ha revelado la detección de una nueva amenaza que afecta a cientos de sitios. Un problema que elimina todo tipo de datos y archivos y hace que el sistema deje de funcionar con normalidad.

Borrado de datos y DDoS en sitios de Ucrania

Muchos bancos y agencias gubernamentales de Ucrania han sufrido en las últimas horas ataques DDoS que han cortado el servicio. Este tipo de ataques se basa en enviar muchas solicitudes de forma continua para que los servidores no puedan responder y se bloqueen. Es un problema que puede causar grandes pérdidas económicas a empresas al hacer que puedan estar horas sin funcionar.

Pero a esto se suma el descubrimiento de ESET y de Symantec, que han detectado un nuevo malware de borrado de datos que se ha utilizado contra organizaciones ucranianas. El objetivo es claro: eliminar todo tipo de datos e información y generar así caos y daño. En el perfil de Twitter de ESET podemos ver la información de este nuevo malware encargado de borrar datos.

Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n

— ESET research (@ESETresearch) February 23, 2022

Según indican desde ESET, este nuevo borrador de datos se detecta como Win32/KillDisk.NCV y se ha visto implementado en cientos de dispositivos en redes ucranianas hoy. Eso sí, el malware fue compilado el pasado 28 de diciembre, por lo que los ataques pueden haber sido planeados desde hace tiempo.

Por su parte, Symantec ha compartido en sus redes sociales el hash del nuevo malware de borrado de datos. Actualmente, según indican, solo lo detectan 16 de los 70 motores de seguridad en VirusTotal.

Desde BleepingComputer han realizado un análisis de este nuevo malware y han detectado que contiene cuatro controladores integrados llamados DRV_X64, DRV_X86, DRV_XP_X64 y DRV_XP_X86. Al ejecutar el malware, instala uno de esos controladores como un nuevo servicio de Windows. Se aprovecha del software legítimo EaseUS Partition Master.

No es el primer ataque de este tipo

Hay que tener en cuenta que no es el primer ataque de este tipo que sufren páginas web ucranianas. El pasado enero, desde Microsoft alertaron de una amenaza que si disfrazaba de ransomware y se usó contra diferentes organizaciones ucranianas. Ese malware de borrado de datos se denominó WhisperGate.

La misión de ese malware era corromper los archivos y borrar componentes del dispositivo. Esto hace que sea imposible iniciar Windows o poder acceder a esos archivos. Algo similar es lo que ha ocurrido con esta nueva amenaza que está afectando a numerosas páginas de Ucrania en el día de hoy.

Aunque los ataques no han sido atribuidos directamente a Rusia, sí que han sido utilizadas estas amenazas por parte de piratas informáticos promovidos por el gobierno ruso. Si nos vamos más atrás en el tiempo, ya en 2017 hubo un ataque contra ciudadanos ucranianos con el ransomware NotPetya y en 2020 Estados Unidos acusó formalmente a un grupo de ciberdelincuentes rusos de un ataque similar.

Estamos viendo en las últimas horas el aumento de la tensión entre Rusia y Ucrania, con diferentes bombardeos en el país ucraniano. Pero las guerras actuales no son solo misiles y es algo que podemos ver con el ejemplo de estos ataques DDoS y malware de borrado que buscan desestabilizar y generar mayores problemas.

El artículo Rusia ataca con malware y ataques DDoS a cientos de webs de Ucrania se publicó en RedesZone.