El grupo de hackers llamado Nodaria, vinculado a Rusia, ha creado una nueva amenaza para la ciberseguridad, diseñada para robar información y volver inoperables a las computadoras infectadas.
El departamento de inteligencia para rastrear amenazas cibernéticas de Symantec advierte que recientemente identificaron una sofisticada variante de malware nunca antes vista, llamada Graphiron. La nueva cepa fue creada por un grupo de hackers vinculado a Rusia que ha puesto en jaque la ciberseguridad de los ucranianos mediante diversos ataques ocurridos en los últimos meses.
Graphiron: una nueva amenaza a la ciberseguridad
Symantec afirma que el grupo de hackers llamado Nodaria, también conocido como UAC-0056, que ha estado activo desde principios de 2021, es quien está detrás de Graphiron. El virus está diseñado para recolectar una amplia variedad de datos del equipo infectado, incluyendo información del sistema, credenciales, capturas de pantalla y archivos.
El grupo cobró relevancia cuando se le asoció con una serie de ciberataques conocidos como WhisperGate Wiper, que afectaron a cientos de computadoras y sitios web del gobierno ucraniano en enero de 2022. Posteriormente, el grupo pasó unos meses desapercibido.
Ahora, los expertos de Symantec aseguran que hay suficiente evidencia para confirmar que desde octubre del 2022 hasta al menos mediados de enero de 2023, Nodaria ha robado datos de cientos de máquinas, por lo que es razonable suponer que sigue siendo una de sus principales herramientas de hackeo.
Es bien sabido que Nodaria trabaja para los intereses del gobierno ruso, por lo que Ucrania ha sido el blanco principal de los ciberataques de Graphiron. Sin embargo, el grupo también ha estado activo contra los estados miembros de la OTAN en América del Norte y Europa, representando una amenaza global.
¿Cómo ataca Graphiron?
Graphiron utiliza un cifrado único con claves codificadas específicamente diseñadas para hacerse pasar por documentos legítimos de Microsoft Office. El malware de robo de información crea archivos temporales con las extensiones “.lock” y “.trash”, que al usuario le aparecen con la terminación “.exe”, por ejemplo: OfficeTemplate.exe y MicrosoftOfficeDashboard.exe.
Por si fuera poco, una vez que lo abres y comienza a descargarse, el malware se hace pasar por ransomwareapoderándose de la parte del disco duro responsable de iniciar el sistema operativo.
Lo anterior permite que la maquina se reinicie proyectando en su pantalla una nota de amenaza en la que los hackers exigen $10,000 Bitcoins por el rescate sus datos. Sin embargo, esto es solo un señuelo para conseguir criptomonedas, ya que el malware vuelve a los dispositivos afectados completamente inoperables e incapaces de recuperar sus archivos, incluso si se paga el rescate demandado.
Además de lo anterior, Graphiron tiene algunas similitudes con otras cepas de virus de Nodaria como GraphSteel y GrimPlant, creadas para extraer archivos junto con la información del sistema y las credenciales robadas de la bóveda de contraseñas. Sin embargo, Symantec señala que el nuevo malware puede filtrar muchos más datos, incluyendo capturas de pantalla y claves SSH privadas.
“Esa información podría ser útil en sí misma para los hackers desde una perspectiva de inteligencia o bien podría usarse para penetrar más profundamente en la organización objetivo o para lanzar ataques destructivos”, declaró Dick O’Brien, analistas al mando del departamento de inteligencia para rastrear amenazas de Symantec.
Por otro lado, O’Brien señaló que si bien es cierto que se conoce muy poco sobre el origen de esta nueva sepa, la nueva técnica de malware de Nodaria se ha convertido y es probable que siga siendo una de las principales tendencias de ciberataques en contra de Ucrania.