Zhadnost Botnet

Se ha descubierto que una nueva cepa de malware se utiliza en ataques DDoS contra la infraestructura digital de Ucrania. Las operaciones de amenaza tuvieron lugar justo antes y durante los primeros días de la invasión rusa del país de Ucrania. El nombre dado a este malware de botnet por los investigadores que analizaron sus funcionalidades y el código subyacente es Zhadnost. Hasta el momento se han identificado tres ataques diferentes relacionados con la amenaza.

Detalles del ataque

Los actores de amenazas han estado apuntando al gobierno ucraniano y a los sitios web financieros.continuamente. Más específicamente, sus objetivos parecen ser los sitios web pertenecientes a las siguientes 7 entidades:

• Ministerio de Relaciones Exteriores de Ucrania
• Ministerio de Defensa de Ucrania
• Ministerio del Interior de Ucrania
• Servicio de seguridad de Ucrania
• Gabinete de Ministros de Ucrania
• Oschadbank
• banco privado

La efectividad de los ataques DDoS (Distributed Denial of Service) ha sido mínima, y los sitios web han restaurado su funcionalidad normal con relativa rapidez. Cabe señalar que el primer ataque detectado consistió en una combinación entre Zhadnost y otras botnets, mientras que los ataques posteriores fueron realizados únicamente por Zhadnost. La atribución del malware a un actor de amenazas específico no ha sido posible con la información disponible actualmente, pero es bastante probable que la organización de delitos cibernéticos responsable de la botnet tenga vínculos con Rusia.

Detalles de la red de bots Zhadnost

Hasta el momento, se han identificado más de 3000 direcciones IP únicas infectadas con la botnet Zhadnost. La mayoría de los dispositivos comprometidos son enrutadores MikroTik que fueron violados a través de configuraciones de recurrencia de DNS mal configuradas u otras vulnerabilidades. Luego, se instruyó a los bots para que lanzaran ataques DDoS a través de inundaciones HTTP y amplificación de DNS. Cabe señalar que ninguno de los bots Zhadnost actualmente conocidos se encuentra en Rusia o Bielorrusia. En cambio, se distribuyen en varios países y varios continentes diferentes.

A medida que Rusia se vuelve más agresiva y despiadada en sus acciones contra Ucrania, los expertos en seguridad cibernética esperan que sus esfuerzos para interrumpir sitios web y plataformas digitales clave también se intensifiquen. Esto podría significar que, a pesar de la falta de impacto de las operaciones actuales que involucran a la botnet Zhadnost, el malware podría aprovecharse en ataques más precisos contra objetivos críticos, como generadores de energía, servicios de telecomunicaciones, unidades militares, etc.