Los ciberpiratas rusos al ataque: ayuda para la invasión de Ucrania y secuestros de sitios para cobrar grandes rescates

Desde hace 15 años, los grupos de ciberdelincuentes rusos actúan con relativa impunidad. El Kremlin hace la vista gorda ante los ataques de ransomware, en los que se apoderan de información y piden un rescate para liberarla o no darla a conocer, siempre que ayuden al Kremlin en sus operaciones. Uno de las bandas de ciberpiratas más letales es la conocida como “Conti”, que tiene relación directa con la FSB, la agencia de inteligencia sucesora de la KGB, y que hace unas semanas atacó en América Latina provocando una crisis al gobierno de Costa Rica. Conti opera en favor de las causas del Kremlin y desde la invasión de febrero a Ucrania es uno de los grupos más activos de los que dan vueltas por el ciberespacio.

Rusia tiene una amplia red de ciberdelincuentes que actúan en un terreno dividido por una muy delgada línea entre el crimen y la acción política. Muchos de los hackers trabajan tanto para las fuerzas armadas como en proyectos personales. De esta manera van construyendo grupos de expertos en introducirse a través de las redes en los sistemas informáticos de empresas y organismos estatales. Los Cozy Beards (ositos cariñosos) provocaron estragos en decenas de empresas estadounidenses. El APT28 estuvo detrás de las intervenciones en las elecciones estadounidenses. Otros con los nombres de Sednit, Sofacy, Pawn Storm y CyberCalifato operan a través de las redes rusas y de otros países de Europa del Este y Asia Central. Todos ellos estuvieron muy activos desde la invasión rusa a Ucrania. El CyberPeace Institute registró mas de 50 grandes ataques contra los sistemas ucranianos desde el 24 de febrero. Pero también encontraron con una dura resistencia de parte de sus pares occidentales y ucranianos.

Conti había recibido un contraataque desde dentro de su propia estructura que parecía haberlo dejado fuera de juego. Se filtraron 60.000 mensajes de chats y archivos del grupo que revelaron la estructura de organización con la que cuentan, sus contactos más importantes y decenas de referencias a sus conexiones con las Fuerzas Armadas del Kremlin. Se creía que ya no podría operar, pero en los últimos días se detectó nuevamente su característica marca de robo de información en varias operaciones, algunas solamente dirigidas a obtener un rescate de dinero y otras con connotaciones de acción de guerra.

El recientemente electo presidente de Costa Rica, Rodrigo Chávez, tuvo que decretar el estado de emergencia en el país después de un ataque de los Conti que comenzó el 12 de abril pasado y que en las publicaciones especializadas se lo denomina como “el ransomware más importante conocido hasta ahora”. Los piratas informáticos pudieron acceder a la información de los contribuyentes e interrumpir el proceso de recaudación de impuestos y de la Aduna provocando millones de dólares en pérdidas al Estado. “Estamos ante una situación de catástrofe inevitable, de calamidad pública y de conmoción interna y anormal que, sin medidas extraordinarias, no puede ser controlada por el Gobierno”, declaró el portavoz de Chávez tras admitir que los piratas habían penetrado en los sistemas de 27 oficinas del Estado.

El ransomware es un tipo de “virus” de criptovirología que amenaza con publicar los datos personales de la víctima o bloquear perpetuamente el acceso a ellos a menos que se pague un rescate. En este caso, Conti comenzó pidiendo 20 millones de dólares y esta semana habría aumentado la cifra. La agencia contra la ciberdelincuencia de la Unión Europea calcula que sólo el año pasado Conti ganó 180 millones de dólares en rescates. La organización también recauda de los trabajos con el gobierno ruso y el espionaje que realiza para empresas.

En julio de 2020 los gobiernos del Reino Unido, Estados Unidos y Canadá denunciaron a “los hackers militares rusos respaldados por el Estado” por intentar robar propiedad intelectual de los laboratorios que estaban desarrollando las vacunas contra el Covid-19 en esos países. Informaron que grupos como Conti, Evil y Cozy Bear, también conocido como Amenaza Persistente Avanzada 29 (APT29), estaban atacando a empresas farmacéuticas y universidades utilizando malware alterado. Estas mismas organizaciones estuvieron involucradas en los intentos por interrumpir varios procesos electorales nacionales y estatales en Estados Unidos. Y luego se encargaron de lanzar ataques coordinados con las maniobras planificadas por el Kremlin mientras iba acumulando las tropas en las fronteras ucranianas.

Apenas una hora antes de que los soldados rusos invadieran Ucrania, los hackers atacaron la empresa estadounidense de comunicaciones por satélite Viasat. La operación resultó en una pérdida de comunicación inmediata y significativa durante los primeros días de la guerra para el ejército ucraniano, que confiaba en los servicios de Viasat para el mando y control de las fuerzas armadas del país. “El ciberataque de Viasat es el mayor hackeo conocido de esta guerra”, asegura Juan Andrés Guerrero-Saade, investigador especializado en ciberseguridad de la compañía SentinelOne. “También es el esfuerzo más intenso para desactivar las capacidades militares ucranianas”.

Los hackers aliados del Kremlin lanzaron un destructivo malware del tipo “wiper” llamado AcidRain contra los módems y enrutadores de Viasat, borrando rápidamente todos los datos del sistema. De acuerdo con una investigación de los técnicos de Microsoft, ese tipo de coordinación al milímetro entre las ciberoperaciones rusas y las fuerzas militares se detectaron esos días “al menos en seis ocasiones”. Y el daño ocasionado se extendió mucho más allá de Ucrania. Afectó a miles de usuarios de internet y a los parques eólicos conectados a la red en Europa central. Y, sobre todo, irrumpió las comunicaciones militares de Estados Unidos y la UE.

Solo unas horas antes de que AcidRain comenzara su trabajo destructivo contra Viasat, los hackers rusos utilizaron otro wiper, llamado Hermetic, contra las redes que conectan a las diversas oficinas del gobierno. Se metieron a través del sistema operativo Windows. Paralelamente, el mismo virus afectó a 5.800 generadores de parques eólicos de todo el norte europeo.

“El ciberataque coordinado y destructivo de Rusia antes de la invasión de Ucrania muestra que los ciberataques se utilizan activa y estratégicamente en la guerra moderna, incluso si la amenaza y las consecuencias de un ciberataque no siempre son visibles para la sociedad”, afirmó en un comunicado el ministro de defensa danés, Morten Bødskov. “La ciberamenaza es constante y cambiante. Los ciberataques pueden causar un gran daño a nuestra infraestructura crítica, con consecuencias fatales”.

Hubo contrataques por parte de las fuerzas de autodefensa de Estados Unidos y la UE. El ministro ucraniano de Transformación Digital, Mijail Fedorov, anunció la última semana que “estamos creando un ejército tecnológico” para enfrentar a los hackers rusos. En unas pocas horas, se habían ofrecido para trabajar en esa red decenas de miles de voluntarios de todo el mundo. Pero lo más llamativo es que Conti recibió un duro golpe interno. El 28 de febrero, una cuenta de Twitter recién creada llamada @ContiLeaks publicó más de 60.000 mensajes de chat enviados entre los miembros de la banda, su código fuente y decenas de documentos internos. El alcance y la escala de la filtración no tienen precedentes; nunca antes se había puesto al descubierto el funcionamiento diario de un grupo de ransomware. Un miembro de Conti que no estaba de acuerdo con la invasión rusa fue el responsable de exponer a la organización.

Así se pudo saber que alguien denominado “Stern” es quien dirige a Conti y que existe otro alto miembro llamado “Profesor” que coordina las actividades con el gobierno ruso. En las conversaciones queda claro que reciben dinero “externo” y se menciona a un cobro en la avenida Liteyny de San Petersburgo, que es donde se encuentra la sede de las oficinas locales del FSB. También, un tal “Mango” que coordina las actividades de robo de información habló con el alias “JohnyBoy77″ para pedirle que penetre las redes de Bellingcat, el sitio de investigación periodística de código abierto que expuso las actividades de los hackers rusos. Estaban particularmente preocupados por la investigación sobre el envenenamiento del líder opositor ruso Alexey Navalny.

También aparecen comentarios sobre una maniobra que realizó el FSB para aparentar que el gobierno ruso estaba combatiendo a la ciberdelincuencia. En enero de este año, los agentes encubiertos del Kremlin detuvieron a 14 miembros del grupo REvil después de una denuncia de funcionarios estadounidenses que habían investigado el pedido de rescates a varias empresas tecnológicas globales. Los arrestos tuvieron una enorme repercusión en la prensa rusa, pero los acusados fueron liberados discretamente unos días más tarde y el caso nunca llegó a juicio.

Durante meses se especuló sobre los posibles ataques devastadores que podrían lanzar los piratas rusos sobre Occidente si las potencias intervenían en la invasión a Ucrania. Sin embargo, no se evidenciaron. Hasta ahora no sabemos de grandes ataques exitosos que hubieran comprometido fatalmente a la defensa, provocado matanzas o interrumpido el envío de armas. Sin embargo, el caso de Costa Rica muestra que los hackers rusos continúan delinquiendo sin respiro. Y que para su propia supervivencia tendrán que seguir dando servicios extraordinarios al Kremlin.

SEGUIR LEYENDO: