A primeira etapa do comprometimento envolveu o malware RoarBat, comumente usado em golpes de ransomware por suas capacidades de listar arquivos no sistema. Mais de 29 formatos foram listados.
Por Redação, com Canaltech - de Kiev
Cibercriminosos que estariam trabalhando à serviço da Rússia exploraram um comando do compactador WinRAR para destruir dados do governo ucraniano. Após invadirem as redes, que não possuíam os devidos protocolos de segurança, os bandidos listaram arquivos usando um malware e, na sequência, emitiram comandos para que os diretórios fossem comprimidos e deletados.
A primeira etapa do comprometimento envolveu o malware RoarBat, comumente usado em golpes de ransomware por suas capacidades de listar arquivos no sistema. Mais de 29 formatos foram listados, incluindo aqueles relacionados a imagens, vídeos, documentos e executáveis do sistema, com o WinRAR sendo usado na sequência para comprimir tudo. Entretanto, essa tarefa foi acompanhada de um comando para que os dados originais fossem apagados, junto com as próprias compactações, gerando perda completa de informações.
O vetor de entrada foram contas comprometidas em serviços de VPN usados pelo governo. Enquanto as agências atingidas em si não foram confirmadas, a Ucrânia falou que diferentes agências foram alvo do golpe, com os invasores nem mesmo se preocupando em ocultar as atividades. Pelo contrário, elas teriam sido responsáveis pela desativação de máquinas Linux e funcionavam a partir do agendamento de tarefas do Windows, permanecendo ativas caso não tivessem sido detectadas.
Grupo conhecido teria realizado ataque
O CERT-UA, time de resposta emergencial a incidentes cibernéticos do governo da Ucrânia, atribui o ataque ao grupo cibercriminoso Sandworm. Ligado ao Kremlin pelo menos desde 2015, quando teria sido o responsável por ataques contra o sistema de fornecimento de energia ucraniano, o grupo se tornou uma das principais armas de guerra digital desde a escalada dos conflitos entre os dois países, com tentativas de causar blackouts no território invadido e uso de malware para apagar dados de diferentes maneiras.
O Sandworm também é apontado, internacionalmente, como o responsável pelos ataques contra a organização dos Jogos Olímpicos de Inverno de 2018, em retaliação ao banimento de atletas russos, e a tentativas de intrusão e manipulação de sistemas dos governos dos EUA e França, entre outros. Eles foram indiciados pelo departamento de justiça americano e seus responsáveis, todos militares, são procurados internacionalmente.
No caso ucraniano específico, o CERT-UA associou o ataque a outra operação de destruição de informações, que atingiu a agência de notícias estatal Ukrinform em janeiro deste ano. Na ocasião, o golpe também foi associado ao grupo cibercriminoso, cuja responsabilidade seria direta do governo russo; o Kremlin não se pronunciou à época e manteve o silêncio também em relação ao novo incidente.
A recomendação das autoridades é a implementação de medidas de segurança nos sistemas governamentais, industriais e corporativos. A adoção de autenticação em duas etapas e aplicação de atualizações são citadas como essenciais para reduzir a superfície de ataque e fechar portas abertas que possam ser usadas pelos bandidos. O monitoramento de acessos e rede, assim como um controle maior de credenciais e sistemas ativos, também são indicados.