El grupo de piratería ruso conocido como ‘Sandworm’ ha sido identificado como el culpable detrás de un ataque a las redes estatales ucranianas, donde utilizaron WinRar para borrar datos de dispositivos gubernamentales. El Equipo de Respuesta a Emergencias Informáticas del Gobierno Ucraniano (CERT-UA) reveló que los hackers aprovecharon cuentas de VPN comprometidas que carecían de autenticación de múltiples factores para obtener acceso a sistemas críticos en las redes estatales. Una vez dentro, utilizaron scripts que emplearon el programa de archivado WinRar para eliminar archivos en máquinas con Windows y Linux. Sandworm utilizó un script de BAT llamado ‘RoarBat’ en Windows, que identificaba tipos de archivos específicos y los archivaba automáticamente utilizando la opción de línea de comandos “-df” de WinRar, que eliminaba archivos durante el proceso de archivado. En Linux, utilizaron un script de Bash que empleaba la utilidad “dd” para sobrescribir tipos de archivos objetivo con bytes en cero. El ataque presenta similitudes con un ataque destructivo anterior a la agencia de noticias estatal ucraniana en enero de 2023, también atribuido a Sandworm. CERT-UA recomienda diversas medidas de seguridad para organizaciones críticas, incluyendo reducir la superficie de ataque, corregir vulnerabilidades, deshabilitar servicios innecesarios, limitar el acceso e implementar autenticación de múltiples factores para las cuentas de VPN.
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.
Source: Bleeping Computer