Mientras el pasado lunes los espectadores estaban asombrados con la ceremonia de inauguración de los Juegos Olímpicos de Invierno 2018, celebrada en Pyeongchang, el comité organizador del evento estaba lidiando con un ciberataque.
Es un hecho que el descenso en la creación de muestras de nuevo malware y la profesionalización de los ataques en la red marcan las pautas en ciberseguridad. En este caso hablamos de un ataque dirigido, calificado incluso de acto de sabotaje, con el que los hackers querían causar el caos durante la ceremonia de apertura y que afectó a algunos servicios de televisión e internet antes de la ceremonia. No obstante, no se consiguió robar información contenida en los servidores.
Los investigadores de seguridad informática de la división Talos de Cisco agregaron además que la finalidad del malware no era el robo de los host comprometidos, sino la destrucción.
GoldDragoN, ¿el último hackeo ruso?
Con el foco siempre puesto en conseguir un mayor beneficio, se incrementa el número de intromisiones cada vez más avanzadas y con nuevas tácticas, como los ataques malwareless (o sin malware) y el uso de herramientas no maliciosa.
Desde PandaLabs explican que al no utilizar malware, fácilmente detectable por las herramientas de ciberseguridad avanzada, los atacantes asumen la identidad del administrador tras haber conseguido sus credenciales a la red. Advierten de que las técnicas empleadas por los ciberdelincuentes para atacar sin utilizar malware pueden ser muy variadas, aprovechando todo tipo de herramientas no maliciosas que forman parte del día a día de los responsables de TI.
En este caso, el ataque sí utiliza malware (bautizado como GoldDragon), pero para llevar a cabo ciertas acciones hace uso de estas herramientas no maliciosas como el PsExec o el propio CMD. De esta manera, ejecuta procesos en otros equipos de la red sin levantar sospechas y sin utilizar una versión modificada por los atacantes, sino que se trata de la versión oficial.
Para llevar a cabo sus acciones destructivas, lanza comandos del sistema desde una ventana de comandos (cmd). Por ejemplo esta instrucción:
C:\WINDOWS\SYSTEM32\CMD.EXE /C C:\WINDOWS\SYSTEM32\VSSADMIN.EXE DELETE SHADOWS /ALL /QUIET
Aquí utiliza el vssadmin.exe para borrar las copias de seguridad creadas por el sistema operativo de forma silenciosa.
Todo parece indicar que el ataque vino desde Rusia. La inteligencia ucraniana y un informe de la CIA vinculó NotPetya y BadRabbit a la inteligencia rusa, y todo señala que GoldDragon (también llamado Destructor Olímpico) es una versión más refinada de BadRabbit.
