Los ciberdelincuentes respaldados por el Gobierno ruso aumentaron el lanzamiento de campañas de ataques 'phishing' dirigidas a Ucrania en un 250 por ciento y ascendieron en un 300 por ciento la propagación de ataques del mismo estilo a países de la OTAN durante el año 2022, en comparación con los ataques registrados en 2020.
Uno de los desafíos a los que se enfrenta Ucrania en la guerra ocasionada por la invasión rusa es que su Gobierno está en constante presión por diversos tipos de ciberataques respaldados por el Gobierno ruso, para obtener una «ventaja decisiva» en tiempos de guerra en el ciberespacio.
En este sentido, durante el recorrido de la guerra que se inició el 24 de febrero del año pasado, Google ha aportado asistencia en el ámbito de la ciberseguridad a Ucrania, lo que la propia compañía define como una de sus contribuciones «más importantes hasta la fecha» para ayudar a este país.
Sin embargo, a pesar de estos esfuerzos, el gigante tecnológico ha identificado ataques lanzados contra Ucrania con patrocinio gubernamental ruso, así como operaciones de desinformación y hallazgos relacionados con el ecosistema del cibercrimen.
Así lo ha retratado Google en su informe titulado 'La niebla de la guerra: el conflicto de Ucrania y la transformación del entorno de las ciberamenazas', donde resalta cómo Rusia ha lanzado ataques «muy agresivos» y «en varias direcciones» para obtener ventajas en la guerra a través del ciberespacio.
Estos esfuerzos incluyen campañas diseñadas para mejorar la recopilación de inteligencia, desplegar ataques destructivos contra las redes de las víctimas y adelantar medidas activas para «moldear el entorno de la información» a favor de Moscú.
Se han observado más ciberataques destructivos en Ucrania durante los primeros cuatro meses de 2022 que en los ocho años anteriores, sobre todo, al inicio de la invasión.
Tal y como especifica la compañía estadounidense, durante el año 2022 Rusia aumentó sus objetivos en Ucrania en un contexto de ciberataques de 'phishing' hasta un 250 por ciento en comparación con 2020. Pero no solo dirigió ataques de este estilo contra este país, sino que también incrementó en más del 300 por ciento sus objetivos en los países pertenecientes a la OTAN con campañas de 'phishing', según ha podido identificar Google.
Uno de los grupos atacantes más activos contra países de la OTAN ha sido 'Pushcha', que está relacionado con el gobierno de Bielorrusia. En este caso, Google detectó una campaña de ataques de 'phishing' potentes centrados en políticos y defensa, así como en ONG que ayudan a los refugiados ucranianos.
Estas campañas se dirigían a proveedores regionales de correo web introduciendo 'phishing' de navegador en el navegador. La campaña contenía enlaces a sitios web comprometidos donde se alojaba la página de 'phishing'. Al clicar en estos enlaces, se redirigía al usuario a un sitio controlado por el atacante y se recopilaban sus credenciales.
En concreto, se observó que 'Pushcha' realizó campañas de 'phishing' contra organizaciones políticas y militares de Ucrania y Polonia.
Entre otras acciones, la Dirección Principal del Estado Mayor (GRU) de las Fuerzas Armadas rusas han utilizado 'malware' para «perturbar y degradar» las capacidades gubernamentales y militares de Ucrania. De forma paralela, Google también ha identificado ataques similares contra los ciudadanos ucranianos para «socavar la confianza» en las capacidades del Gobierno de su país.
Igualmente, estos ataques de 'malware' también han conseguido acceder a redes y sistemas con datos de las víctimas para lograr "múltiples objetivos". Por ejemplo, los actores patrocinados por la GRU han utilizado estos datos para difundir información sensible y promover una narrativa a su favor.
Como principales objetivos dentro del Gobierno y los servicios militares ucranianos se encuentran el Ministerio de Defensa, el Ministerio de Relaciones Exteriores, la Agencia Estatal de Servicios Civiles y la Agencia Estatal de Recursos Hídricos, entre otros.
Operaciones de información
En cuanto a las operaciones de información, el Gobierno ruso utiliza desde medios abiertos respaldados por el Estado hasta plataformas y cuentas encubiertas para «dar forma» a la percepción pública de la guerra. Así, Google ha descubierto entorno a 1.950 alertas de este tipo de actividad en sus plataformas solo durante el año 2022.
Estas operaciones de información se lanzan tanto para los ciudadanos ucranianos con el fin de desprestigiar a su Gobierno, como para los ciudadanos rusos, incentivando el apoyo interno y moldeando la imagen de la guerra en su favor. Igualmente, también se pretende fracturar el apoyo internacional a Ucrania.
La información difundida por Rusia e identificada por Google trata temas como que Estados Unidos está desarrollando biolaboratorios en Ucrania y alrededor del mundo para generar armas biológicas. Otro ejemplo es el rumor de que los militares ucranianos están utilizando civiles como escudos humanos durante el combate.
Estos ataques de información utilizan incluso Inteligencia Artificial (IA) para generar vídeos falsos. Por ejemplo, en un ataque del 16 de marzo se lanzó un vídeo simulando al presidente de Ucrania, Volodímir Zelenski, aceptando la rendición de Ucrania frente a Rusia.
En base a estas operaciones de información falsa, Google anunció medidas a través de Trust & Safety en el mes de marzo de 2022 para pausar de manera indefinida la monetización y bloquear globalmente las recomendaciones para los medios estatales rusos en sus plataformas.
División en los hackers
La guerra ha motivado la división de las lealtades de los atacantes o hackers motivados a través de financiación. Una de las consecuencias en el ámbito de los ciberdelincuentes es que se ha complicado la diferenciación de los atacantes con motivaciones de financiación y los atacantes respaldados por el Gobierno ruso.
Tanto es así, que en algunas ocasiones utilizan técnicas, tácticas y procedimientos de 'ransomware' (TTPs) novedosos que hacen parecer que son operaciones de atacantes respaldados por el Gobierno ruso.
En este sentido, el ecosistema de la ciberdelincuencia se ha dividido, algunos atacantes han seguido lealtades políticas y otros han mostrado su división en líneas geopolíticas. Otros operadores potentes directamente han cesado su actividad.
Por ejemplo, el ladrón de malware 'Racoon' suspendió su actividad ya que huyó de la invasión rusa de Ucrania y, ahora, está esperando a ser extraditado a los Estados Unidos para ser procesado legalmente tras su arresto en los Países Bajos.
Por su parte, el grupo de 'ransomware' 'Conti' acabó apoyando a Rusia y amenazando con atacar la infraestructura crítica de todas las naciones que en algún momento tomaron medidas contra este país. Sin embargo, estas declaraciones provocaron enfrentamientos internos y el grupo se acabó disolviendo.
Otra de las consecuencias de todo ello es que el tabú de atacar a Rusia lanzando campañas de ciberataques "se ha suavizado", tal y como declara Google en su informe. Tras la invasión, el grupo hacktivista NB65 utilizó código filtrado de 'Conti' tras su cierre para apuntar a organizaciones rusas, algo que previamente a la guerra probablemente no hubiera ocurrido.
Por otra parte, según Google no se han detectado tantas represalias de 'ransomware' como se esperaba contra infraestructura crítica en Estados Unidos y los países de la OTAN en 2022, sobre todo, tras las declaraciones de lealtad y de hacktivismo al principio del conflicto.
Al respecto, la compañía tecnológica estadounidense baraja la hipótesis de que se han producido menos represalias por el aumento de las sanciones contra Rusia, lo que ha afectado a las decisiones de las organizaciones occidentales sobre pagar rescates, disminuyendo los beneficios de los grupos de 'ransomware' un 40 por ciento.