Más de un año después del comienzo del conflicto armado entre Rusia y Ucrania, la guerra sigue activa y los ciberataques se recrudecen. Una amenaza digital que puede traspasar las fronteras ucranianas y sentirse en otros países como España, tal y como advierte Microsoft.
El gigante tecnológico considera que un grupo de piratas informáticos vinculados con la agencia de inteligencia militar rusa GRU estaría planeando un ataque de tipo ransomware dentro y fuera del país invadido. El grupo en cuestión ya ha sido acusado de realizar ataques en la red eléctrica de Ucrania, así como en los Juegos Olímpicos de Invierno de 2018.
Las ciberdefensas ucranianas se han defendido principalmente con la ayuda de empresas tecnológicas extranjeras como Microsoft, las cuales aprovechan la experiencia creada en este terreno para reforzar las fuerzas en el resto de países. La compañía acaba de corregir una vulnerabilidad en Outlook que otro grupo de piratas informáticos rusos estaba aprovechando desde abril de 2022 para atacar las redes de al menos 15 organizaciones gubernamentales europeas, militares, de energía y de transporte.
Banda Sandworm
El informe de Microsoft, detallado por Bloomberg, señala que el ciberataque sufrido por los servicios de transporte polacos y ucranianos en el pasado mes de octubre puede haber sido "un globo de prueba" para nuevos ataques en otros territorios. Esta operación se le atribuye al grupo conocido como Sandworm, al que también se le denomina como Iridium.
El ataque estaba "poniendo a prueba la capacidad de la comunidad internacional para atribuir las operaciones de espionaje a Moscú" dice Microsoft. Otro objetivo de ese movimiento puede haber sido conocer la capacidad de reacción de los aliados de Ucrania a un ataque destructivo fuera de Ucrania a través del ransomware como el detectado en el sistema de transporte de Polonia.
El ransomware persigue introducirse en los sistemas informáticos de empresas y organismos para bloquearlos o cifrarlos, momento en el que la banda criminal suele solicitar un rescate. En los últimos años, además de un objetivo económico, estos y otros tipos de ciberataques se han usado para destruir archivos cruciales o impedir la operatividad del sistema.
En este sentido, Google informó en el mes de febrero, que el grupo Sandworm apuntó a un fabricante turco de drones, cuyos sistemas se utilizaron en Ucrania al principio de la guerra y atacó información confidencial como las comunicaciones militares ucranianas y los movimientos de tropas. España es uno de los países que envía armamento a Ucrania como tanques y otra equipación.
Reforzar la seguridad
Al mismo tiempo, Microsoft parchea vulnerabilidades encontradas en sus servicios que han sido la puerta de acceso a otras bandas en el último año. La compañía descubrió que otro grupo ruso, también relacionado con la GRU, había estado aprovechando una vulnerabilidad de día cero de Outlook (CVE-2023-23397) para atacar a organizaciones europeas.
La brecha permitía a los piratas hacerse con las credenciales de los usuarios que se usaron para acceder a las redes de las víctimas y cambiar los permisos de la carpeta del buzón de correo de Outlook. Esta táctica permite la exfiltración de correo electrónico para cuentas específicas. Los expertos en ciberseguridad aconsejan actualizar con regularidad los sistemas y demás programas o aplicaciones para beneficiarse de la seguridad que aportan estas correcciones.