El Consejo de Seguridad y Defensa Nacional (NSDC) de Ucrania está acusando a los actores de amenazas ubicados en las redes de Rusia de realizar ataques DDoS en sitios web del gobierno de Ucrania desde el 18 de febrero.
El Centro Nacional de Coordinación para la Ciberseguridad (NCCC) del NSDC afirma que estos ataques DDoS han sido masivos y se han dirigido a sitios web gubernamentales en el sector de la defensa y la seguridad. Si bien Ucrania no acusó directamente a Rusia de los ataques de denegación de servicio, afirmó que las direcciones IP de los atacantes estaban ubicadas en redes rusas.
"En particular, se llevaron a cabo ataques en los sitios web del Servicio de Seguridad de Ucrania, el Consejo de Seguridad y Defensa Nacional de Ucrania, los recursos de otras instituciones estatales y empresas estratégicas. Se reveló que las direcciones pertenecientes a determinadas redes de tráfico rusas eran la fuente de estos ataques coordinados ", declaró la NCCC en un comunicado de prensa el lunes por la mañana.
La NCCC afirma que sus investigaciones descubrieron un nuevo malware plantado en servidores vulnerables del gobierno de Ucrania que agrega los dispositivos a una botnet controlada por un atacante. Según los informes, estos dispositivos se utilizan para realizar más ataques DDoS en otros sitios ucranianos.
"De esa manera, durante un ataque, los servidores web gubernamentales vulnerables se infectan con un virus que los convierte de manera encubierta en parte de una botnet utilizada para ataques DDoS a otros recursos".
"Al mismo tiempo, los sistemas de seguridad de los proveedores de Internet identifican los servidores web comprometidos como una fuente de ataques y comienzan a bloquear su trabajo incluyéndolos automáticamente en una lista negra. Por lo tanto, incluso después del final de la fase DDoS, los sitios web atacados siguen siendo inaccesibles para los usuarios. "explica el NSDC explicó.
El NCCC no ha proporcionado ningún IOC relacionado con este malware.
Posibles represalias por las detenciones de ransomware Egregor
La semana pasada, se filtró la noticia de que la policía ucraniana, en cooperación con la policía estadounidense y francesa, arrestó a presuntos miembros de la operación de ransomware Egregor .
Tres días después, el Servicio de Seguridad de Ucrania (SBU) emitió un comunicado de prensa sobre los arrestos de Egregor y la incautación del equipo del grupo de ransomware. Al día siguiente, el sitio web de la SBU se volvió inaccesible debido a un ataque de denegación de servicios.
Más tarde, varios investigadores de seguridad le dijeron a BleepingComputer que se creía que los actores de amenazas asociados con el ransomware Egregor estaban realizando los ataques en represalia por los arrestos.
%2014.04.55.png)
