Hackers rusos están usando WinRAR como ciberarma contra Ucrania
Si bien es cierto que podemos utilizar casi cualquier objeto como arma en un caso extremo, parece ser que esto también se traslada en cierto modo al dominio digital, pues tal como leemos en Bleeping Computer, hackers rusos han conseguido hacerse con cuentas VPN para posteriormente hacer uso de WinRAR como si de un malware/ransomware se tratase.
Sin embargo, su funcionamiento es más rudimentario, pues se trata de un script denominado RoarBAT, escrito en BAT tal como indica su nombre, que busca archivos en los formatos doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin y dat, y los archiva con WinRAR usando la opcion “-df”.
Esta opción elimina los archivos de origen una vez se ha finalizado el archivado, de modo que, en ese momento, la única copia existente de los archivos es la archivada. Esta copia es posteriormente eliminada por RoarBAT, haciendo desaparecer los archivos, algo que ocurre periódicamente ya que RoarBAT se ejecuta a través de una tarea programada.
En el caso de los equipos que ejecutan Linux, existe un vector de ataque similar a través de Bash y la herramienta dd, aunque en ambos casos se ha terminado eliminando una gran cantidad de datos de equipos gubernamentales. El sistema que se utiliza para su borrado pone sobre la mesa la posibilidad de recuperar, como mínimo, los archivos comprimidos, pero no deja de ser un problema.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!