Ucrania es afectada por ataques phishing durante el golpe realizado por BadRabbit
Atacantes intentaron obtener acceso a información confidencial durante un potente pero sigiloso ataque de phishing efectuado en paralelo con el ransomware BadRabbit durante la semana pasada, comentó el director de la ciber policía ucraniana el jueves.
El ataque de BadRabbit afectó principalmente a Rusia, pero también causó afectaciones a Ucrania (víctimas frecuentes de ciber ataques), causando retrasos en los vuelos del aeropuerto de Odessa al sur de la costa, e interrumpiendo los pagos en el metro de Kiev.
“Durante estos ataques, se detectó de manera repetida ataques silenciosos, pero más potentes, los cuales buscaban obtener información financiera y confidencial,” comentó el jefe de policía Serhy Demedyuk a Reuter Cyber Security Summit en Kiev.
El descubrimiento sugiere que Ucrania pudo haber sido el principal objetivo de los ataques la semana pasada, debido a la gran cantidad de las víctimas de incidentes de BadRabbit en Rusia.
Demedyuk explicó que es una especie de “ataque híbrido” que ha ido incrementando. “Es un ataque abierto, ya que, muestra de forma inmediata un ataque bastante obvio, mientras debajo ejecuta otro oculto, es un ataque bien pensado, para que nadie le preste atención.”
“La teoría principal en la que estamos trabajando ahora es que ellos (los perpetradores de ambos ataques) son el mismo,” dijo. “El objetivo ha sido obtener acceso remoto sin ser detectados.”
El ataque paralelo tenía como objetivo a los usuarios de Rusia que utilizaban el servicio de software llamado 1C con correos electrónicos phishing que parecían ser enviados por el desarrollador, comentó Demedyuk.
El desarrollador de 1C no respondió de forma inmediata a las solicitudes de respuesta realizadas por Reuters.
Un distribuidor de 1C en Ucrania, quien solicitó no mencionaran su nombre, confirmó que los clientes habían sido el objetivo de este ataque y advirtió a los mismos que tomaran medidas extra de precaución como resultado.
Demedyuk comentó que su departamento aprendió de este ataque cuando cerca de 15 compañías reportaron que habían sido afectadas.
Explicó que no era posible decir cuanta gente u organizaciones habían sido afectadas en total, pero los productos de 1C, los cuales tienen una cuenta de software para su administración, son usados extensamente en Ucrania.
Otro malware, llamado “NotPetya”, también tenía como objetivo a los usuarios de este software en Junio. Afectó a miles de computadoras en Ucrania y se distribuyó alrededor del mundo, interrumpiendo navíos y negocios.
Los investigadores de seguridad y expertos creen que los ataques de NotPetya y BadRabbit podrían haber sido desarrollados por el mismo grupo que compartió una parte importante del código.
Demedyuk comentó a las autoridades de Ucrania que se habían prevenido otros 5 ataques a instituciones financieras y a infraestructuras críticas desde Junio, negándose a mencionar cuales eran estas.
En uno de los ataques, la policía bloqueó la transferencia de 10 millones de grivnas (371,277 de dólares) hacia una cuenta externa a la organización.
También comentó que los atacantes habían estado explotando puertas traseras, las cuales fueron instaladas durante el ataque de NotPetya.