CERT-UA declaró que está intensificando sus esfuerzos para recopilar y analizar información sobre los incidentes de ciberseguridad con el objetivo de proporcionar información actualizada sobre posibles amenazas. Según el informe, durante el mes de marzo, se registraron al menos tres ciberataques enfocados en la recolección de información confidencial de las computadoras de las agencias gubernamentales.
Los ciberatacantes han estado utilizando cuentas comprometidas para enviar correos electrónicos que contienen enlaces a servicios de almacenamiento en la nube como DropMefiles y Google Drive. Estos enlaces conducen a cargadores de VBScript que, una vez ejecutados, descargan scripts de PowerShell. Estos scripts tienen la función de buscar archivos sensibles y, además, tomar capturas de pantalla de las computadoras infectadas. La exfiltración de datos se lleva a cabo mediante el uso de Curl, una herramienta para la transferencia de datos. Los atacantes han empleado instaladores de NSIS, que incluyen archivos de «decoy» (cebo) y software como IRFANVIEW, para ocultar sus actividades.
Desde el inicio de 2025, la capacidad de captura de pantalla ha cambiado para depender del uso de PowerShell. Los atacantes han centrado sus esfuerzos en archivos con extensiones comunes que contienen información sensible, tales como .doc, .pdf, .xls y .png.
La herramienta principal utilizada en estos ataques ha sido identificada como Wrecksteel, que está disponible en versiones tanto de VBScript como de PowerShell. El informe subraya que, debido a que los robos de información no son persistentes, es crucial que cualquier indicio de un ciberataque sea reportado a CERT-UA de inmediato. Esto permitirá que se tomen medidas rápidas para mitigar las amenazas y proteger la infraestructura crítica del país.
Además, el informe de CERT-UA incluye indicadores de compromiso (COI), que son elementos que ayudan a identificar actividades de ciberseguridad específicas, proporcionando a las agencias la información necesaria para reaccionar con eficacia ante estos incidentes.
El aumento de la agresividad y sofisticación de los ataques cibernéticos dirigidos contra las entidades gubernamentales ucranianas pone en relieve la creciente importancia de la ciberseguridad en un entorno geopolítico tenso. Desde el conflicto en curso en Ucrania, las ciberamenazas han evolucionado, siendo utilizadas por actores estatales y no estatales para socavar la seguridad de la nación. Esto destaca la necesidad vital de que las instituciones de Ucrania continúen fortaleciendo sus medidas de defensa y respuesta a incidentes de ciberseguridad.
La preocupación por la seguridad cibernética se ha intensificado a nivel global, y los ataques recientes subrayan la necesidad de colaboración internacional para combatir estas amenazas. Las autoridades ucranianas están trabajando en estrecha colaboración con socios internacionales para mejorar sus capacidades de respuesta a incidentes y continuar investigando las actividades de los grupos de amenazas cibernéticas.
En conclusión, los ataques cibernéticos en marzo de 2025 han puesto de manifiesto la vulnerabilidad de las agencias estatales y la infraestructura crítica en Ucrania, debido a la proliferación de métodos de ataque cada vez más sofisticados. CERT-UA continúa evaluando y respondiendo a estas amenazas, ayudando a proteger la información sensible del país en un contexto de constante guerra cibernética.
Enlace de la fuente, haz clic para tener más información