Al menos seis actores diferentes alineados con Rusia lanzaron no menos de 237 ataques cibernéticos contra Ucrania del 23 de febrero al 8 de abril, incluidos 38 ataques destructivos discretos que destruyeron irrevocablemente archivos en cientos de sistemas en docenas de organizaciones en el país.
“Conjuntamente, las acciones cibernéticas y cinéticas funcionan para interrumpir o degradar las funciones militares y gubernamentales de Ucrania y socavar la confianza del público en esas mismas instituciones”, dijo la Unidad de Seguridad Digital (DSU) de la compañía en un informe especial.
Las principales familias de malware que se han aprovechado para actividades destructivas como parte de los implacables ataques digitales de Rusia incluyen: WhisperGate , HermeticWiper ( FoxBlade , también conocido como KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper , DesertBlade , DoubleZero (FiberLake) e Industroyer2 .
WhisperGate, HermeticWiper, IssacWiper y CaddyWiper son borradores de datos diseñados para sobrescribir datos y hacer que las máquinas no se puedan iniciar, mientras que DoubleZero es un malware .NET capaz de eliminar datos. Se dice que DesertBlade, también un borrador de datos, se lanzó contra una empresa de radiodifusión no identificada en Ucrania el 1 de marzo.
SonicVote, por otro lado, es un cifrador de archivos detectado junto con HermeticWiper para disfrazar las intrusiones como un ataque de ransomware, mientras que Industroyer2 apunta específicamente a la tecnología operativa para sabotear la producción y los procesos industriales críticos.
Microsoft atribuyó HermeticWiper, CaddyWiper e Industroyer2 con confianza moderada a un actor patrocinado por el estado ruso llamado Sandworm (también conocido como Iridium). Los ataques de WhisperGate se han relacionado con un grupo previamente desconocido denominado DEV-0586, que se cree que está afiliado a la inteligencia militar GRU de Rusia .
Se estima que el 32 % del total de 38 ataques destructivos apuntaron a organizaciones gubernamentales ucranianas a nivel nacional, regional y de ciudad, con más del 40 % de los ataques dirigidos a organizaciones en sectores de infraestructura crítica en las naciones.
Además, Microsoft dijo que observó a Nobelium , el actor de amenazas culpado por el ataque a la cadena de suministro de SolarWinds de 2020, que intentaba violar las empresas de TI que atienden a clientes gubernamentales en los estados miembros de la OTAN, utilizando el acceso a datos de desvío de organizaciones de política exterior occidentales.
Otros ataques maliciosos involucran campañas de phishing dirigidas a entidades militares ( Fancy Bear alias Strontium) y funcionarios gubernamentales ( Primitive Bear alias Actinium ), así como operaciones de robo de datos ( Energetic Bear alias Bromine) y reconocimiento ( Venomous Bear alias Krypton).
«El uso de ciberataques por parte de Rusia parece estar fuertemente correlacionado y, a veces, directamente sincronizado con sus operaciones militares cinéticas dirigidas a servicios e instituciones cruciales para los civiles», dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente .
«Dado que los actores de amenazas rusos han estado reflejando y aumentando las acciones militares, creemos que los ataques cibernéticos continuarán aumentando a medida que se desarrolla el conflicto. Es probable que los ataques que hemos observado sean solo una fracción de la actividad dirigida a Ucrania».