El grupo de ransomware Sparta ha atacado en septiembre de 2022 a al menos 12 empresas españolas, ubicadas en Cataluña y Comunidad Valenciana, según se desprende del “Cyber Threat Intelligence Report”, elaborado por la compañía de ciberseguridad BeDisruptive.

Esta división de KillNet Colective había cometido actos de ciberdelincuencia desde su creación el 3 de junio de 2022, si bien hasta el momento no había actuado en España. Eel grupo por primera vez ha comenzado a autodenominarse como “hacktivista”, circunstancia impulsada por el conflicto generado por la invasión de Ucrania por Rusia probablemente, para ganar fuerza y legitimidad, visibilidad y reclutar miembros con más experiencia y conocimiento, según el informe.

En los ataques a empresas en España, su objetivo no es desestabilizar geopolíticamente, como sí ha ocurrido en Noruega y en el este de Europa, sino obtener financiación e información.

Sparta es un subgrupo creado a principios de junio por Legion Cyber Spetsnaz, el “departamento” de ciberinteligencia de KillNet.

Los últimos ataques pretendían impactar en una compañía informática de servicios y soluciones en el ámbito del cloud y del soporte. Es probable que algunas de las organizaciones atacadas sean víctimas colaterales, por ser clientes de la empresa inicialmente afectada.

Vínculos con el Gobierno ruso

La mayoría de estos ataques han tenido un impacto limitado hasta la fecha, ya sea mediante la desfiguración de páginas web o ataques denegación de servicio distribuido (DDoS), por lo que las víctimas han podido recuperarse rápidamente sin sufrir daños de larga duración.

KillNet, según Mandiant, tiene vínculos con grupos directamente relacionados con el Gobierno ruso. Según el informe, se espera que la actividad de Sparta siga al menos, hasta el final del conflicto de Ucrania, aunque es altamente probable que el grupo siga operando una vez acabado éste, porque la infraestructura de KillNet es estable.

En mayo, KillNet anunció que ataques llevados a cabo en España e Italia fueron parte del entrenamiento para atacar posteriormente a zonas de mayor interés estratégico. La información recopilada tras los ataques puede alimentar nuevas acciones de Sparta contra otras víctimas. Cabe la posibilidad de que estos ataques de ransomware sean el inicio de una campaña más prolongada, como la ocurrida en otros países.

“KillNet y sus subdivisiones tienen recursos suficientes para realizar con éxito ataques de denegación de servicio de corta duración. El grupo ha demostrado una experiencia limitada en este ámbito. No obstante, no descartamos que vayan sumando activos y expertos más profesionalizados como resultado de campañas de reclutamiento. Vemos, por tanto, cómo ciertos grupos se están amparando en el conflicto ruso-ucraniano para ganar legitimidad y visibilidad”, advierte Agnese Carlini, CTI Leader de BeDisruptive.