Hackers rusos usan WinRAR para borrar datos del gobierno ucraniano

En febrero de 2022 estalló la guerra desde que Rusia decidió invadir Ucrania. En ese momento, la mayor parte de países del mundo se pusieron a favor de Ucrania y empezaron a aplicar sanciones a Rusia. Si bien el inicio de la guerra parecía estar a favor de los rusos, con el tiempo Ucrania ha demostrado ser capaz de defenderse y contraatacar a la ofensiva rusa. Rusia ha tenido que pasar a una guerra digital, donde los hackers rusos han usado WinRAR para atacar al gobierno de Ucrania.

En estos últimos años hemos pasado por un gran número de eventos totalmente inesperados. Podemos comenzar con la pandemia COVID-19, algo que nadie esperaba que ocurriera y menos que llegase a tener este gran impacto. Pero en cuanto empezábamos a estar mejor, a principios de 2022 empezó otro acontecimiento con consecuencias muy negativas, Putin decidió invadir Ucrania. En el momento en que estalló la guerra de Rusia y Ucrania, estos dos países han estado luchando contra ellos hasta el día de hoy y no parece que el conflicto vaya a acabar pronto.

Rusia ataca de nuevo a Ucrania, sus hackers usan WinRAR para borrar datos

 0

Ha habido muchos momentos en la guerra en los que Rusia ha demostrado que no tiene un potencial militar tan grande como nos hacía creer Putin. En la guerra hemos visto a los rusos tener que utilizar vehículos y armas muy anticuadas e incluso se ha hecho mención de que el punto fuerte de Rusia no es su ejército terrestre. Muchas veces se menciona el papel de los hackers rusos en la guerra y los ataques a infraestructuras críticas del país es algo que mencionó Ucrania hace meses.

Ahora tenemos de protagonistas a un grupo de hackers de Rusia denominados "Sandworm", los cuales han empleado WinRAR para borrar datos importantes para Ucrania. Su objetivo esta vez han sido los ordenadores gubernamentales que se encuentran en el país, a los cuales han podido acceder utilizando VPN que no estaban bien protegidas.

El script RoarBAT elimina más de 30 tipos de archivos

WinRAR script hackers rusos

El Equipo de Respuestas a Emergencias Informáticas del Gobierno Ucraniano (CERT-UA) ha avisado del ataque, afirmando que hubo inicios de sesión con VPN. Para realizar el ataque tuvieron que ejecutar un script RoarBAT, que es un fichero batch que utiliza WinRAR para buscar y comprimir archivos para luego eliminarlos. Este script es capaz de buscar archivos con las extensiones terminadas en:

  • .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s, .sys, .dll, .exe, .bin y .dat

Como podemos ver, entran la inmensa mayoría de archivos que tenemos en nuestros PC con información relevante. Rusia ha conseguido que todos esos archivos de ordenadores de Ucrania acaben enviándose a WinRAR donde se provece a usar la opción "-dl", es decir, los borra. Teniendo en cuenta lo popular que es WinRAR, es muy probable que esté instalada en dichos ordenadores con Windows. Si creías que la solución era usar Linux, ya te informamos que no es así, ya que se pueden eliminar los archivos de forma similar usando un script BASH.