El Centro Canadiense para la Seguridad Cibernética envió una alerta pública el viernes diciendo que el centro se ha dado cuenta de un nuevo malware disruptivo, cuyo nombre en código es HermeticWiper, dirigido a organizaciones ucranianas.
La alerta, que se lanza para aumentar la conciencia pública, se produce después de que el malware o software malicioso fuera descubierto en Ucrania el miércoles.
Reuters informó que el malware afectó a cientos de computadoras, según investigadores de la firma ucraniana de ciberseguridad ESET. Las sospechas han recaído sobre Rusia, que ha sido acusada repetidamente de piratear Ucrania y otros países. Las víctimas incluían agencias gubernamentales y una institución financiera, pero no se proporcionaron más detalles.
Leer más:
Ucrania pide a la comunidad cibernética que se defienda de los ataques rusos
Según el Centro Canadiense para la Seguridad Cibernética, HermeticWiper «abusa de un controlador benigno para corromper el Registro de arranque maestro (MBR) de cada disco físico y partición de disco para hacer que el sistema víctima quede inoperable después del apagado de la máquina».
HermeticWiper también «modifica varias claves de registro para deshabilitar los volcados de memoria del sistema».
En pocas palabras, dice Terry Cutler, hacker ético y director ejecutivo de Cyology, este nuevo malware esencialmente continúa «borrando todos los datos de cualquier agencia o empresa gubernamental», haciéndolos irrecuperables.
Diferencia entre HermaticWiper y Ransomware
Ransomeware es un tipo de malware comúnmente conocido. Lo que diferencia a HermeticWiper del malware normal es cómo afecta y utiliza los datos.
Según Cutler, cuando el ransomware ingresa a una computadora, obtiene acceso a nombres de usuario y contraseñas y se abre camino a través del sistema.
«Está tratando de afianzarse, y una vez que alcanza lo que se llama credenciales administrativas de dominio… las computadoras se bloquean y sus datos se vuelven completamente inutilizables y codificados hasta que paga un rescate», explicó Cutler en una entrevista con Global News.
Leer más:
Canadá brinda «apoyo» cibernético a Ucrania contra la invasión rusa. Esto es lo que sabemos
El HermaticWiper, por otro lado, «se apaga y en lugar de hacer el ransomware donde bloquea los datos, en realidad borra todo el lugar, que es mucho más difícil de recuperar», dijo Cutler.
La ciberguerra de Rusia
En un documento elaborado por el Servicio de Investigación del Congreso (CRS) a principios de febrero de este año, el CRS explicó que Rusia mantiene una serie de unidades cibernéticas que “llevan a cabo desinformación, propaganda, espionaje y ciberataques destructivos a escala global”.
CRS dijo que, según los informes del gobierno, las operaciones cibernéticas iniciales de Rusia consistieron principalmente en ataques distribuidos de denegación de servicio (DDoS) y, a menudo, se basaron en el reclutamiento de piratas informáticos criminales y civiles.
Cutler explicó que un ataque DDoS es un ataque cibernético destinado a interrumpir el tráfico normal de un servidor, servicio o red objetivo al abrumar al objetivo o la infraestructura que lo rodea con una avalancha de tráfico de Internet.
LEER MÁS: Ucrania dice que Rusia está llevando a cabo una «invasión a gran escala» mientras Putin ordena un ataque militar
Dijo que DDoS a menudo actúa como una distracción.
«Pensarás que están atacando tu sitio web, pero en realidad están atacando tus bases de datos u otra información confidencial», dijo Cutler.
Cuando eso suceda, dijo que TI verá un gran aumento en el tráfico de Internet a sus firewalls. También recibirán un montón de llamadas de sus usuarios que tampoco pueden iniciar sesión para usar los servicios.
Cutler dijo que las unidades de guerra cibernética de Rusia tienen los «libros de jugadas para pasar desapercibidos el mayor tiempo posible».
“Están tratando de abrirse paso en lo que se llama infraestructura crítica. Quieren entrar en su red eléctrica, su suministro de agua, su teléfono, sus proveedores de servicios de Internet… Si alguna vez se llegara a la Tercera Guerra Mundial, es posible que ya no se luche con bombas. Se combatirá con ataques cibernéticos”, dijo Cutler.
Ucrania ha estado sujeta a un aluvión constante de agresiones rusas en el ciberespacio desde 2014, cuando Rusia anexó la península de Crimea y respaldó a los separatistas en el este de Ucrania.
Leer más:
El simulacro ruso masivo en el otoño fue un ensayo para invadir los estados bálticos: informe
En 2007, Estonia también fue objeto de un ciberataque a gran escala, que la mayoría de los observadores atribuyeron a Rusia. Los objetivos estonios iban desde la banca en línea y los medios hasta los sitios web gubernamentales y los servicios de correo electrónico.
Rusia usó ataques DDoS nuevamente en su guerra de 2008 con Georgia. Aunque Rusia ha negado su responsabilidad, Georgia fue víctima de un ciberataque a gran escala que coincidió con las acciones militares rusas.
Cómo detener este nuevo malware
El HermiticWiper solo funciona porque es nuevo. Si fuera antiguo, se habrían encontrado las contramedidas existentes y se habría detenido, dice Eric Parent, director ejecutivo y fundador de EVA Technologies, que se especializa en ciberseguridad y ciberterrorismo.
Parent dice que una vez que HermeticWiper “explote y rompa cosas”, habrá diferentes personas y entidades, como empresas antivirus y de respuesta a emergencias, estudiándolo.
«La parte buena es que (después de entender cómo funciona) podemos ver cómo protegernos», dijo Parent. «La desventaja es que todas las personas equivocadas también pueden verlo y descubrir cómo funciona».
LEER MÁS: La amenaza cibernética rusa aumenta las tensiones en Ucrania a medida que aumentan las preocupaciones sobre la invasión
Dijo que con el tiempo, los delincuentes podrían descubrir cómo funciona HermeticWiper y usarlo en otra persona.
Mientras tanto, mientras Rusia continúa con su invasión de Ucrania, Parent dice que espera ver más ataques cibernéticos en los próximos días y semanas, incluso en Canadá, y serán un poco diferentes.
«Siempre lo hemos tenido… pero vamos a tener un poco más… y habrá un esfuerzo un poco más enfocado», dijo Parent.
¿Están en riesgo las empresas canadienses?
Un experto en seguridad cibernética dice que las empresas canadienses corren el riesgo de sufrir ataques en línea si Rusia decide tomar represalias contra las sanciones del gobierno.
Karim Hijazi, fundador y director ejecutivo de la firma de ciberinteligencia Prevailion, con sede en Texas, dice que las empresas canadienses podrían ser víctimas de malos actores que intentan comprometer la infraestructura crítica y las entidades gubernamentales.
Él dice que ese podría ser el enfoque probable porque el gobierno, la infraestructura crítica y el sector privado están muy entrelazados y son fácilmente accesibles.
Hijazi también dice que el malware dañino que Rusia podría activar ya está en Canadá.
LEER MÁS: Explosiones sacuden Kiev mientras la capital ucraniana se prepara para el asalto ruso
Un portavoz del Establecimiento de Seguridad de las Comunicaciones (CSE) confirmó a The Canadian Press que la agencia del gobierno federal monitorea las amenazas cibernéticas dirigidas a los sectores de finanzas, energía y telecomunicaciones.
CSE alienta a todos los sectores de infraestructura crítica en Canadá a monitorear el aumento en la actividad de amenazas cibernéticas.
Parent dijo que Rusia tomaría represalias contra los países que le imponen sanciones a través de ataques cibernéticos porque «es demasiado fácil hacer eso».
«Si encuentran algo que puedan romper, es decir, en suelo canadiense o estadounidense, lo harán».
— con archivos de The Canadian Press, The Associated Press y Reuters
© 2022 Global News, una división de Corus Entertainment Inc.
.
