Hacker
Carolina González Valenzuela
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Ucrania advierte de que el grupo ruso de piratas informáticos Sandworm podría estar explotando Follina, la nueva vulnerabilidad de Microsoft que aún no está resuelta por la compañía.
A principios de junio ya informamos sobre una nueva vulnerabilidad de día cero que afecta a Microsoft Office y que supone un problema para todos los usuarios que emplean los programas de ofimática de Microsoft.
En esta lo que ocurre es que los atacantes hacen uso de documentos de Word creados especialmente para ser el elemento clave a la hora de tener acceso a la consola de comandos de Windows y, por lo tanto, ejecutar las líneas de código que ellos quieran y sin nada que se lo impida.
Estos se sirvieron de la vulnerabilidad apodada como Follina para poder tener acceso a la herramienta Microsoft Diagnostic Tool. Con esto sobre la mesa, y al igual que ocurre con DogWalk, del que ya hemos hablado recientemente. Microsoft solo ofreció los pasos para desactivar el MSDT y de momento no ha salido ninguna actualización para solventar por completo esta situación.
Pues bien, la última novedad es que el grupo ruso de piratas informáticos Sandworm, está haciendo uso de Follina para atacar varias organizaciones de medios de comunicación en Ucrania, incluyendo estaciones de radio y periódicos. El modus operandi se basa en el lanzamiento de una campaña de correos electrónicos maliciosos.
Los correos electrónicos tienen el asunto «LISTA de enlaces a mapas interactivos», y llevan un archivo adjunto .DOCX con el mismo nombre.
Sabiendo esto, el CERT ya está poniendo cartas sobre el asunto y está proporcionando indicaciones para ayudar a los defensores a detectar las infecciones, dado que Microsoft, por el momento, no lo ha solucionado.
¿Quiénes son Sandworm, el grupo ruso de piratas informáticos?
Este grupo de hackers rusos ha estado atacando a Ucrania constantemente durante los últimos años. Sin embargo y con la llegada de la guerra, esto se ha intensificado.
Los ataques que han estado realizando han sido muy mediáticos. Recordemos como en abril se descubrió que Sandworm intentó derribar un gran proveedor de energía ucraniano atacando sus subestaciones eléctricas con una variante del malware Industroyer.
A finales de ese mismo mes, Estados Unidos fijó una recompensa de 10.000.000 de dólares para quien pudiera ayudar a localizar a seis individuos que se cree que son miembros del famoso grupo de piratas informáticos y las fuerzas ucranianas continúan luchando por evitar este tipo de ataques y desenmascararlos.