La guerra entre Rusia y Ucrania marcó una nueva era en la seguridad informática: más ciberataques, mejor dirigidos y con especial preferencia por derribar infraestructura crítica. Las centrales eléctricas, el transporte público, los sistemas de salud e incluso las centrales nucleares se convirtieron en el foco de un campo de batalla híbrido.
Entre el repertorio de ataques se encuentran los conocidos DDoS, (saturación de redes para privar de acceso a usuarios legítimos), ransomware, donde se encriptan datos para exigir un rescate en criptomonedas a cambio, y una tendencia que va en aumento: limpiaparabrisas, programas que eliminar información para hacer daño.
El último informe de Microsoft sobre defensa digital señaló que estos incidentes aumentaron del 20% en 2021 al 40% este año. Y dentro de estos ataques, hay una categoría específica en la guerra cibernética que es una de las que más preocupa a los expertos: los grupos conocidos como APTO (“Amenaza Persistente Avanzada”).
Los “ciberamenazas persistentes avanzadas” son tipos de ataques más bien silenciosos, donde los intrusos se instalan en las computadoras de otras personas y pueden extraer información durante meses o incluso años, sin ser detectados. Y son uno de los más típicos patrocinado por los estados.
Robert Lipovsky, investigador principal de inteligencia de amenazas de ESET, analizó en profundidad los ataques cibernéticos de Rusia a Ucrania, su impacto y cómo las fuerzas ucranianas lograron detenerlos.
Durante su visita a Buenos Aires, en el marco de Ekoparty 2022, una de las mayores convenciones de hackers y seguridad informática de América Latina, Lipovsky contó todo sobre “Industroyer2”: una pieza de código malicioso diseñado para atacar infraestructuras críticas, que ya lo ha hecho. había sido utilizado en 2016, pero volvió recargado en abril de este año tras la invasión de Ucrania.
El experto se encuentra en una posición privilegiada para analizar la guerra cibernética: ESET, con sede en Eslovaquia, es el antivirus más vendido en Ucrania. Lo que significa una mina de oro cuando se trata de recopilar y analizar información para comprender las amenazas. Habló con Clarín.
Industroyer2, un malware cargado
─¿Cómo cambió el panorama de los ciberataques en Ucrania y Rusia después de la guerra?
─Hubo un aumento y un desplazamiento hacia ciberataques más agresivos desde febrero. Sin embargo, es necesario aclarar una cosa: la guerra cibernética en la zona Ucrania-Rusia ha estado ocurriendo durante mucho tiempo. Durante los últimos ocho años más o menos, y esto también coincide con la situación geopolítica que ha sucedido desde entonces, como cuando Rusia ocupó Crimea en 2014 o la guerra en Donbass, en el este de Ucrania.
─¿Hay más ataques patrocinados por el Estado?
─Sí, aunque antes existían en la zona, empezamos a ver un aumento de los ataques del Estado ruso contra varios objetivos ucranianos. Y entre los blancos había tanto organizaciones gubernamentales del sector público como empresas privadas, medios de transporte, es decir, infraestructura crítica. Los más notables fueron los ataques contra la red eléctrica ucraniana, vimos tres intentos en los que los piratas informáticos rusos intentaron interrumpir el flujo de electricidad, con un éxito parcial (no lograron lo que querían lograr).
─Ahí entra”industrial2”, este virus que pretende derribar plantas industriales. ¿Qué se sabe de él?
─Diría que lo más interesante fue el descubrimiento del malware [programa malicioso] per se. Era diciembre de 2016 y durante unos cinco años nadie supo de él. Desde entonces, toda la industria se preguntó cuándo podría aparecer, y finalmente lo hizo. abril.
─¿Para qué fue creado?
─Estaba diseñado para desenergizar centrales eléctricas, pero también hubo otras piezas de malware que se desplegaron en esa campaña y eran limpiaparabrisas, programas diseñados para borrar información (limpiaparabrisas). Los había para sistemas Windows y también había otros limpiaparabrisas para Linux y Solaris, básicamente para cubrir sus huellas y dificultar la restauración.
─¿Y cuánto afectó Industroyer2 a Ucrania? ¿Que intentas hacer?
─Intentó cortar la red eléctrica del país. La buena noticia es que los ucranianos tienen mucha experiencia en la lucha contra estos ciberataques rusos y también hemos cooperado muy de cerca con ellos. Por eso el último ataque no tuvo éxito, se evitó y no hubo corte de energía.
─¿Es muy diferente a la primera versión?
─Eso fue interesante porque tiene modificaciones del primer Industroyer, pero también similitudes. Claramente está hecho de la misma base de código, por lo que definitivamente es una nueva versión de lo mismo, básicamente con un montón de diferencias arquitectónicas.
─Hablando de limpiaparabrisas que borran información, ¿se han usado más desde la guerra?
─Sí. A ver, hay diferentes categorías de amenazas. Aunque puedan parecer similares a primera vista, los limpiaparabrisas son los ataques preferidos de estos grupos patrocinados por el Estado-Nación que hemos estado viendo. Algunas veces fingir ser ransomware y mostrar el mensaje de rescate, corromper el sistema y, a veces, incluso cifrar archivos, pero en realidad muestra la nota de rescate solo como un señuelo. En realidad, su objetivo es destruirlo todo.
Ransomware: Menos Ataques, Mayores Aciertos
─El ransomware ganó protagonismo estos años. ¿Qué detectaron en este tipo de ataques?
─Los grupos de ransomware se han profesionalizado mucho con los años, persiguen objetivos muy grandes, empresas y Estados que tienen dinero, hacen su reconocimiento previo, miran sus ingresos y realmente calculan qué cantidades de dinero pueden pedir. No es como hace 10 años, cuando el ransomware atacaba a los usuarios normales y exigía $300.
─¿Y los mecanismos de infección?
─Una tendencia que hemos visto en nuestra telemetría es que hubo un gran aumento en los intentos de fuerza bruta para PDR (Protocolo de Escritorio Remoto, es decir, poder acceder a otra computadora de forma remota).
─ ¿Y a qué se debe esto?
─Fue impulsado en gran medida por el cambio al trabajo remoto introducido por la pandemia, donde muchos empleados accedían a los recursos de su empresa desde casa, con acceso VPN (red privada) mal configurado y similares. Los atacantes se aprovecharon de esto e intentaron usar este vector para ingresar, y también fue uno de los principales métodos para instalar ransomware en las redes de la empresa.
─¿Hay más o menos ataques de ransomware?
─Este año hemos visto una reducción de ataques, similar a lo que detectó Fortinet. Ha habido una disminución en estos ataques de fuerza bruta de ransomware, pero a pesar de que ha habido una reducción significativa, sigue siendo un vector importante estamos viendo y uno de los principales métodos por los que el ransomware se está metiendo en los sistemas informáticos.
─Los sistemas que utilizan las industrias suelen ser antiguos y obsoletos. ¿Es un vector de entrada para ransomware?
─Por un lado, sí, todos estos viejos sistemas propios de los entornos ICS (Industrial Control Systems) son un potencial vector de infección. Estos sistemas son muy difíciles, si no imposibles, de hacer parches de seguridad, porque ya no están actualizados. Hemos visto esto con ataques de malware industrial en la red eléctrica, que usaba protocolos de comunicación industrial para enviar comandos a los disyuntores para desconectar las plantas de energía. Allí no estaban usando sin explotar absolutamente. Simplemente estaban usando los protocolos en la forma en que fueron diseñados para ser usados.
─Es decir, no tienen usuario, contraseña ni controles de seguridad.
─Exacto, fueron diseñados hace décadas, sin pensar en la seguridad. Sin autenticación, nada de eso. Así que definitivamente es como una debilidad en todo el sistema. No es solo una debilidad de una utilidad en particular, sino que es un sistema ampliamente vulnerable. Por otro lado, a veces hacer las cosas a la antigua y tener mecanismos manuales es también una ventaja, como en Ucrania.
─¿En qué sentido?
─Hemos visto que durante algunos de estos ataques cibernéticos, los operadores de subestaciones eléctricas pudieron restaurar la energía más rápidamente al pasar al modo manual, que es una capacidad que muchas redes eléctricas occidentales no tienen, así que sí, es una debilidad, pero también puede tener algunas ventajas como esta: lo analógico a veces permite una protección más eficiente.
Ekoparty se llevó a cabo los días 2, 3 y 4 de noviembre en Buenos Aires. Durante 3 días, expertos en seguridad informática, hacking y asistentes con diversos intereses asisten a charlas y talleres. Fue en el Centro de Convenciones de Buenos Aires y tuvo cerca de 10 mil asistentes.
