Software malicioso RoarBAT
Según un nuevo aviso publicado por el Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania (CERT-UA), se sospecha que el grupo de piratería ruso 'Sandworm' es responsable de un ciberataque dirigido a las redes estatales de Ucrania. El ataque se llevó a cabo mediante la explotación de cuentas VPN comprometidas que no estaban protegidas con autenticación de múltiples factores, lo que permitió a los piratas informáticos obtener acceso a sistemas críticos dentro de las redes.
Una vez que el grupo Sandworm obtuvo acceso a los dispositivos objetivo, utilizaron la amenaza previamente desconocida RoarBAT para eliminar datos en máquinas que ejecutan Windows y un script Bash en sistemas operativos Linux. Esto se logró mediante el uso de WinRar, un popular programa de archivo, para borrar archivos de los dispositivos afectados. El ataque causó un daño significativo a la infraestructura de TI del gobierno ucraniano, lo que destaca la importancia de la autenticación de múltiples factores como una medida de seguridad crítica para protegerse contra tales ataques.
Tabla de contenido
RoarBAT aprovecha la popular aplicación de archivo WinRAR para eliminar datos
Los actores de la amenaza Sandworm emplean un script BAT llamado 'RoarBat' en Windows. Este script escanea los discos y directorios específicos de los dispositivos violados en busca de numerosos tipos de archivos, incluidos doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin y date. Cualquier archivo que coincida con los criterios establecidos se archiva utilizando la popular y legítima herramienta de archivado WinRAR.
Sin embargo, los actores de amenazas aprovechan la opción de línea de comandos '-df' cuando ejecutan WinRAR, lo que resulta en la eliminación automática de archivos durante el proceso de archivado. Además, los archivos en sí se eliminan al finalizar, lo que lleva efectivamente al borrado permanente de los datos en el dispositivo de la víctima. Según CERT-UA, RoarBAT se ejecuta a través de una tarea programada que se distribuye de forma centralizada a los dispositivos de dominio de Windows a través de políticas de grupo.
Los piratas informáticos también apuntan a los sistemas Linux
Los ciberdelincuentes utilizaron un script Bash en los sistemas Linux, que utilizó la utilidad 'dd' para reemplazar el contenido de los tipos de archivos objetivo con cero bytes, borrando efectivamente sus datos. La recuperación de archivos 'vaciados' por la herramienta dd es poco probable, si no imposible, debido a este reemplazo de datos.
El uso de programas legítimos como el comando 'dd' y WinRAR sugiere que los actores de amenazas tenían como objetivo evadir la detección por parte del software de seguridad.
Similitudes con ataques anteriores contra objetivos ucranianos
Según CERT-UA, el reciente ataque destructivo llevado a cabo por Sandworm tiene sorprendentes similitudes con otro ataque que ocurrió en enero de 2023 en la agencia de noticias estatal ucraniana, 'Ukrinform', que también se atribuyó al mismo actor de amenazas. La implementación del plan amenazante, las direcciones IP utilizadas por los atacantes y el empleo de una versión modificada de RoarBAT apuntan hacia el parecido entre los dos ataques cibernéticos.
