Así actúa el malware ruso que está infectando equipos en todo el planeta

Un grupo de piratas informáticos rusos conocidos por atacar casi exclusivamente entidades ucranianas se ha diversificado en los últimos meses, ya sea accidental o intencionalmente, al permitir que malware de espionaje infecte una variedad de organizaciones en cada vez más países.

El grupo, conocido por muchos nombres, incluidos Gamaredon, Primitive Bear, ACTINIUM, Armageddon y Shuckworm, ha estado activo desde al menos 2014 y el Servicio de Seguridad de Ucrania lo ha atribuido al Servicio Federal de Seguridad de Rusia. La mayoría de los grupos respaldados por el Kremlin se esfuerzan por pasar desapercibidos, sin embargo, a Gamaredon, el nombre de este grupo, no le importa. Sus campañas motivadas por el espionaje dirigidas a un gran número de organizaciones ucranianas son fáciles de detectar y vincular con el gobierno ruso . Las campañas suelen girar en torno a malware cuyo objetivo es obtener la mayor cantidad de información posible de los objetivos.

Una de esas herramientas es un gusano informático diseñado para propagarse de un ordenador a otro a través de unidades USB . Rastreado por investigadores de Check Point Research como LitterDrifter, el malware tiene dos propósitos: propagarse promiscuamente de una unidad USB a otra e infectar permanentemente los dispositivos que se conectan a dichas unidades con malware que se comunica permanentemente con los servidores de comando y control operados por Gamaredon.

"Gamaredon continúa centrándose en una amplia variedad de objetivos ucranianos, pero debido a la naturaleza de este gusano, vemos indicios de una posible infección en varios países como EE.UU., Vietnam, Chile, Polonia y Alemania – señalan -. Además, hemos observado pruebas de infecciones en Hong Kong. Todo esto podría indicar que, al igual que otros gusanos, LitterDrifter se ha extendido más allá de sus objetivos previstos”.

Los datos sugieren que el número de infecciones en Estados Unidos, Vietnam, Chile, Polonia y Alemania combinados puede ser aproximadamente la mitad de las que afectan a organizaciones dentro de Ucrania. Y aumentando a diario.

Los gusanos son un tipo de malware que se propaga sin necesidad de que el usuario realice ninguna acción. Como software que se propaga a sí mismo, los gusanos son conocidos por su crecimiento explosivo a escalas exponenciales. Stuxnet, el gusano creado por la Agencia de Seguridad Nacional de Estados Unidos y su homólogo de Israel, ha sido una advertencia para las agencias de espionaje. Sus creadores pretendían que Stuxnet infectara solo a un número relativamente pequeño de objetivos iraníes que participaban en el programa de enriquecimiento de uranio de ese país. En cambio, se extendió por todo el planeta e infecto a más de 100.000 equipos.

Quienes crean que han podido resultar infectados, señala Check Point, pueden revisar en su web las etiquetas de archivos, las direcciones IP y los dominios utilizados por el malware.

"Compuesto por dos componentes principales, un módulo de dispersión y un módulo C2, está claro que LitterDrifter fue diseñado para soportar una operación de recolección a gran escala señalan quienes descubrieron el gusano -. Aprovecha técnicas simples, pero efectivas para garantizar que pueda alcanzar el conjunto más amplio posible de objetivos en la región. En principio, la mejor prevención para evitar resultar infectados es no conectar dispositivos externos al ordenador ni abrir archivos de fuentes desconocidas o dudosas.