EEUU y Reino Unido advierten: Rusia ultima ciberataques críticos fuera de Ucrania

Si existe cierto riesgo de que el conflicto armado entre Rusia y Ucrania se extienda fuera de las fronteras de este último, más probable es que la guerra comience a abrirse al resto del mundo mediante ciberataques. Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido vuelven a advertir de las operaciones de piratería informática respaldadas por el Kremlin que apuntan a futuros ataques a infraestructuras críticas, riesgo del que no se salva España.

Este último informe de los miembros de la alianza de ciberseguridad Five Eyes, advierte como en avisos anteriores de la actividad en Rusia por la que grupos de cibercriminales y autoridades estarían preparando ataques contra otros países. Esta vez añade un detallado estudio de múltiples bandas que han dado su apoyo a Putin en esta contienda y "amenazado con realizar operaciones cibernéticas contra países y organizaciones que brindan apoyo material a Ucrania".

Mediante ataques de tipo ransomware, malware destructivo, DDoS, y ciberespionaje, se espera que estas bandas ataquen sistemas como sectores de energía, sistemas de transporte y servicios de conexión a internet como ya ha ocurrido previamente en Ucrania. Con este aviso piden a las organizaciones y empresas que refuercen la seguridad de sus sistemas TI (Tecnología de la Información).

Rusia se prepara

El aviso conjunto que han lanzado las autoridades de ciberseguridad de estos países es similar a los que se han estado publicando desde que crecieran las tensiones con Rusia a principios de año. Un ciberataque de este tipo de entendería como una respuesta por parte de la administración de Putin al apoyo a Ucrania, así como a las sanciones económicas impuestas por diversos países, incluida España.

Hace exactamente un mes el presidente Biden aseguraba que el gobierno estadounidense había detectado movimientos en la piratería rusa que demostrarían que se están preparando para atacar a empresas nacionales, aunque reconocían "no tener la certeza" de si el ataque se va a producir.

Mapa de ciberataques del 1 de abril de 2022 en FireEye Omicrono Omicrono

En este nuevo aviso se hace énfasis en el historial de Rusia de donde surgieron malwares tan destructivos como BlackEnergy y NotPetya. Señalan a las autoridades, "el FSB, la agencia sucesora de la KGB, ha llevado a cabo operaciones cibernéticas maliciosas dirigidas al sector de la energía, incluidas las empresas de energía del Reino Unido y los EEUU". En este ámbito, ponen también de ejemplo la actividad de GTsST, un "grupo APT que opera desde al menos 2009 y se ha enfocado en una variedad de organizaciones de infraestructura crítica, incluidas aquellas en los sectores de energía, sistemas de transporte y servicios financieros" que está vinculado con el Departamento Central de Inteligencia de Rusia (o GRU).

Por otro lado, también señalan a diferentes bandas de hackers que estarían dando su apoyo a su país como "CoomingProject, un grupo criminal que extorsiona a las víctimas extorsionando o amenazando con exponer datos filtrados", indican. A esta lista se han sumado nuevos nombres tras el comienzo del conflicto, así nace XakNet "grupo cibernético en idioma ruso que ha estado activo desde marzo de 2022". Según esta información, el equipo de XakNet amenazó con apuntar a organizaciones ucranianas en respuesta a ataques DDoS contra Rusia".

Medidas de seguridad

Por último, el informe aporta medidas con las que cada organización debe proteger sus sistemas de estos ataques, aplicando parches en las vulnerabilidades explotadas, usando la doble autenticación, así como proteger y supervisar el protocolo de escritorio remoto (RDP) y brindar capacitación y concienciación a los usuarios finales. 

Los empleados suelen ser el eslavón más débil de la cadena en este sentido, de esta forma, la primera fase de los ataques suele consistir en robar las credenciales de algún empleado mediante técnicas de ingeniería social con mensajes phishing. Los expertos aconsejan reforzar las mecanismos de protección aunque priorizando más los protocolos de actuación tras sufrir un ataque, pues si hay algo seguro es que no se puede estar protegido por completo.