El 24 de febrero de 2022 Rusia invadió Ucrania. Sin embargo, ya se habían producido movimientos en la red anteriormente. De hecho, los actores dentro de la red se encuentran divididos en 3 facciones. La parte más oscura de la red (la conocida como ‘Darknet’) se divide en grupos que apoyan a Rusia, grupos que apoyan a Ucrania y un tercer grupo de oportunistas, como no podía ser de otra manera.
La mayor parte de los grupos de activismo apoyan a Ucrania, mientras que los actores vinculados al ransomware apoyan a Rusia. El grupo de oportunistas intenta aprovechar la debilidad de los países en guerra, y de los que la sufren, para hacer sus negocios y sus delitos.
Uno de los negocios más florecientes y qué más hemos visto crecer y hemos observado es el vinculado a la venta de credenciales de cuentas vulneradas. Es por ello que, desde diciembre de 2021, hemos observado cómo la información sobre brechas de datos en ciudadanos ucranianos, y cuentas vulneradas de empresas y servicios en el país han ido creciendo. Así, las referencias a subastas de este tipo prácticamente se fueron duplicando mes tras mes hasta el inicio de la invasión.
La guerra de Rusia en la ‘Darknet’
Algunas de estas brechas y volcados son :
- 40 millones de registros de PII (información de identificación personal) relacionada con los clientes de PrivatBank, el mayor banco de Ucrania.
- 7,5 millones de registros de pasaportes ucranianos y 2,1 millones de registros de PII de nacionales del país.
- Una base de datos de tipo y tamaño no especificado con registros de automóviles, placas de matrícula y datos relacionados con la policía fronteriza de Ucrania.
- 28 millones de registros de pasaportes y licencias de conducir, con escaneos completos y fotografías, de ciudadanos ucranianos
- 1 millón de registros relacionados con Nova Poshta, un servicio postal y de mensajería privado en Ucrania
- 10 millones de registros con información de los clientes ucranianos de Vodafone Ucrania.
- 3 millones de datos acerca de los clientes de lifecell, una empresa de telecomunicaciones ucraniana, y otros 13 millones relacionados con Kyivstar, otra teleco del país.
La ‘Darknet’ y Rusia en la guerra en Ucrania: ¿quién apoya a quién?
Por no aburrirles, decir que los volcados de bases de datos en venta en Internet más grandes por su volumen eran dos bases de datos con 53 millones y 56 millones de datos personales de ciudadanos ucranianos. Uno era ya conocido desde 2006 pero el segundo era de 2020.
Junto a estos negocios en la ‘Darknet’, la configuración de afines y detractores de un bando u otro ha afectado tanto a grupos de ciberdelincuencia como hacktivistas.
Uno de los grupos de ransomware más conocido, como es el caso de Conti, declaró un día después de la invasión su apoyo total al Gobierno ruso. Días después, el grupo amplió su declaración con el anuncio de represalias a los supuestos belicistas occidentales si intentaban atacar infraestructuras críticas en Rusia.
El 27 de febrero un miembro de Conti filtró conversaciones de los chats del grupo que revelaban diferencias internas en el grupo, dividido entre apoyos a Rusia y a Ucrania.
CoomingProject, otro grupo dedicado al ransomware, anunció su apoyo al Gobierno ruso y afirmó que contestaría cualquier ataque dirigido a Rusia con ataques cibernéticos. Otro grupo, AgainstTheWest, contestó publicando en Twitter que había pasado a la policía francesa la identidad de este primer grupo: seis jóvenes en Francia que eran supuestamente los que operaban.
El 26 de febrero, otro grupo de ransomware, LockBit 2.0, publicó una declaración más neutral. Este grupo se declaró apolítico y afirmó su intención de no participar en ataques a infraestructuras críticas de cualquier país o participar en conflictos internacionales.
Grupos en la ‘Darkweb’ que se han posicionado contra Rusia
En la parte contraria, Yegor Aushev, cofundador de una empresa tecnológica en Kiev, declaró que funcionarios del gobierno ucraniano le habían pedido que solicitara a hackers y piratas informáticos que colaboraran voluntariamente para defender el país en la red.
Dentro del activismo en la red ha destacado el anuncio procedente presuntamente del grupo Anonymous. El 25 de febrero alguien en nombre de ese grupo anunció la publicación de varios archivos con bases de datos del Ministerio de Defensa ruso.
Sin embargo, el examen de la información expuesta no sustenta realmente la credibilidad de este grupo. Solamente 1 de los archivos publicados podría contener algún tipo de credencial utilizable. El resto de la información ya era conocida de anteriores filtraciones.
Otros grupos menos conocidos de activistas en la red, cómo GhostSec, afirmaron haber atacado dos IP, que afectaron a un centenar de sus dominios militares rusos. Un extremo que, sin embargo, no se ha podido confirmar.
Además, filtraron a su vez una nueva base de datos cuyo examen determinó que eran exactamente las mismas que las del grupo Anonymous.
Ataques a entidades rusas por la invasión en Ucrania
Quizás el grupo más activo sea AgainstTheWest. Grupo que ha filtrado bases de datos de código fuente con información clasificada.
También se les ha atribuido ataques de denegación de servicio (DoS), instalación de malware, ataques diversos a web, etc, en contestación y respuesta a la invasión rusa de Ucrania. Estos ataques estaban dirigidos a entidades rusas y bielorrusas.
De hecho, algunas de las instituciones más conocidas que han sido atacadas son el Ministerio de Transporte de la Federación Rusa o la aerolínea Aeroflot. Prácticamente todos los días este grupo está mostrando supuestas evidencias de nuevos ataques a todo tipo de empresas y entidades del Gobierno ruso.
Otro grupo llamado Ghostsec se atribuyó el ataque a un centenar de subdominios militares rusos alojados en 2 IPs.
Ellos afirmaron compartir credenciales comprometidas de dominios como gov(.ru) y mil(.)ru. Sin embargo, esta filtración resultó ser la misma que la del grupo Anonymous.
De igual forma ocurrió con nuevas brechas filtradas el 26 por este grupo. Aseguraron ser los autores de supuestos ciberataques a dos grupos vinculados al gobierno ruso: Ghoswriter y Gamaredon, exponiendo parte de la infraestructura utilizada por ellos.
Otros grupos como Distributed Denial of Secrets (DDoSecrets) publicaron 200 GB de correos electrónicos del fabricante de armas bielorruso Tetraedr, mostrando su oposición a Rusia
El ministro de transformación digital de Ucrania Fedorov anunció la creación de un “ciberejercito” de voluntarios el 26 de febrero. Además, desde un canal de Telegram se muestran distintos ciberataques a empresas rusas como Gazprom, servicios como Yandex y distintas Webs institucionales rusas.
El 27 de febrero este ejército pareció participar en distintos ataques DDos contra objetivos como la propia Web del Kremlin.
Todos estos movimientos quedan un poco fuera del alcance del gran público pero deben ser vigilados y seguidos como parte principal de las labores de inteligencia y prevención de la seguridad en la red.
De hecho la alerta, en cuanto a posibles ciberataques, ya sean ransoms o phishing o de otros tipos, debe ser máxima, puesto que tanto cualquiera de estos grupos que participan activamente en el conflicto en la red, o de delincuentes que intenten aprovechar la situación puede actuar en cualquier momento.
Y no seremos ajenos a ellos
