Sandworm

El grupo Sandworm Team, también conocido como APT44, es un grupo de ciberespionaje de alcance global. Vinculado al GRU (Dirección Principal de Inteligencia Rusa), apareció por primera vez en el año 2014. El nombre Sandworm fue dado en 2014 por los analistas de la compañía iSIGHT Partners, quienes encontraron en los binarios del malware BlackEnergy referencias a la obra Dune de Frank Herbert.

Aunque el grupo ganó notoriedad en 2022 en el contexto de la guerra ruso-ucraniana, ya había realizado ataques de gran impacto con anterioridad como el conocido NotPetya en 2017. Esta APT ha jugado un papel clave en la guerra moderna, demostrando cómo los ciberataques son herramientas estratégicas en conflictos internacionales.

El grupo ataca a instituciones públicas, como ministerios, concentrándose en aquellos basados en Ucrania. Sin embargo, su malware también ha afectado a organizaciones públicas y privadas en otros países. Un ejemplo destacado es el ataque con NotPetya.

El grupo emplea ciberataques de alto impacto, como la manipulación electoral, el sabotaje de infraestructura crítica y la desestabilización política. Estos ataques están alineados con los objetivos de Rusia para expandir su influencia en el escenario geopolítico.

Para lograr esto emplean tácticas avanzadas, entre ellas la explotación de infraestructuras esenciales como routers y VPNs. Mediante el compromiso de dispositivos perimetrales, consiguen obtener acceso a redes específicas para llevar a cabo actividades de espionaje, extracción de datos sensibles y despliegue de malware destructivo. También comprometen la cadena de suministro de software, lo que amplía su acceso a los sistemas de la víctima y refuerza la efectividad de sus ataques.

• El grupo alcanzó notoriedad a partir de los ataques a la red eléctrica de Ucrania en 2016, donde lograron dejar sin electricidad a miles de personas en Kiev. Este ataque, conocido como Industroyer, está compuesto por cuatro componentes maliciosos (payloads) diseñados para obtener el control directo de interruptores y disyuntores en una subestación de distribución de electricidad.
  Este ataque fue considerado la mayor amenaza para sistemas de control industrial (Industrial Control System) desde Stuxnet y fue uno de los primeros casos confirmados de ciberataques que lograron inutilizar infraestructuras críticas.
• Sin embargo, uno de sus ataques más conocidos fue el uso del malware NotPetya en junio de 2017. Diseñado inicialmente para atacar entidades ucranianas, se disfrazó de ransomware aunque su objetivo real era destruir información NotPetya se propagó rápidamente y se convirtió en uno de los ciberataques más devastadores a nivel mundial, afectando a empresas y organismos públicos de múltiples países y causando daños económicos valorados en casi mil millones de dólares.
• En el contexto previo a la guerra Ruso-Ucraniana en enero de 2022, tras una gran cantidad de ataques DDoS que afectaron a Ucrania, apareció el malware conocido como WhisperGate. Al igual que sucedió con NotPetya, este malware del tipo wiper se hizo pasar por un ransomware, siendo descubierto tan solo un mes antes de la invasión rusa. El 23 de febrero de 2022, una campaña destructiva, que utilizó HermeticWiper, apuntó a cientos de sistemas en al menos cinco organizaciones ucranianas. Este malware destructivo fue detectado pocas horas después de la invasión a Ucrania. Junto con HermeticWiper, el gusano informático HermeticWizard y el falso ransomware HermeticRansom también se desplegaron en esta campaña.

En los siguientes meses aparecieron diferentes campañas relacionadas con Sandworm, como CaddyWiper, IsaacWiper y AcidRain. Esta APT ha intensificado sus campañas desde el inicio de la guerra y durante más de dos años, ha ejecutado múltiples ataques con el fin de desestabilizar la infraestructura de Ucrania.