Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Rusia usó WinRAR para borrar ficheros a Ucrania en un ataque


Un reciente ataque informático contra organizaciones gubernamentales ucranianas ha sido perpetrado utilizando el popular software de compresión de archivos WinRAR. Se sospecha que el hackeo fue realizado por el grupo ruso Sandworm.

 


 El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha confirmado el incidente. De acuerdo con el ente especializado en ciberseguridad, los piratas informáticos han logrado acceder a algunos de los sistemas más importantes del gobierno para destruir datos almacenados en sus equipos. Y el arma que se eligió no fue otra más que el popular software de compresión de archivos WinRAR.

  • El grupo delictivo ruso SandWorm se ha relacionado con un ataque a las redes estatales de Ucrania donde se utilizó WinRar para destruir datos en dispositivos gubernamentales.

En un nuevo aviso, el Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania (CERT-UA) dice que los delincuentes informáticos rusos utilizaron cuentas VPN comprometidas que no estaban protegidas con autenticación multifactor para acceder a sistemas críticos en las redes estatales de Ucrania.

Una vez logrado el acceso a los equipos ucranianos, los cibercriminales pudieron aprovecharse de la instalación legítima de WinRAR en los PC afectados para eliminar los archivos deseados. En el caso de los ordenadores con Windows, los piratas informáticos ejecutaron una versión modificada de un script llamado RoarBAT. Se trata de un archivo batch que sirve para buscar una amplia gama de archivos en discos y directorios específicos.

Entre los formatos soportados se encuentran aquellos correspondientes a documentos de Word (.doc o .docx), planillas de Excel (.xls o .xlsx), imágenes (.jpg, .png, etc.), archivos PDF, material multimedia (.mp4), ficheros comprimidos (.zip, .rar, .7z) y hasta ejecutables (.exe), entre muchos otros. 


 

En Windows, el script BAT utilizado por SandWorm es RoarBat, que busca discos y directorios específicos para tipos de archivos como: doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin y dat, y los comprime con el programa WinRAR.

Cuando se ejecuta WinRar, los atacantes utilizan la opción de línea de comandos "WinRar -df", que elimina automáticamente los archivos a medida que se archivan. Luego, el archivo comprimido también se elimina. 


 

CERT-UA dice que RoarBAT se ejecuta a través de una tarea programada creada y distribuida centralmente a los dispositivos en el dominio de Windows mediante políticas de grupo.

En los sistemas Linux, los actores de amenazas usaron un script Bash en su lugar, que emplea la utilidad dd para sobrescribir los tipos de archivos de destino con cero bytes, borrando su contenido. Debido a este reemplazo de datos, la recuperación de archivos "vaciados" con la herramienta dd es poco probable, si no completamente imposible.

Tanto el comando dd como WinRar son programas legítimos, es probable que los atacantes los usaran para eludir la detección por parte del software de seguridad.

CERT-UA dice que el incidente es similar a otro ataque destructivo que golpeó a la agencia de noticias estatal ucraniana "Ukrinform" en enero de 2023, también atribuido a SandWorm.

CERT-UA recomienda que todas las organizaciones críticas del país reduzcan su superficie de ataque, corrijan las fallas, deshabiliten los servicios innecesarios, limiten el acceso a las interfaces de administración y controlen el tráfico y los registros de su red.

 

Fuentes:

https://hipertextual.com/2023/05/hackers-rusos-winrar-ataque-gobierno-ucrania 

https://blog.segu-info.com.ar/2023/05/como-usar-winrar-df-para-hacer.html

 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.