Más ciberataques dirigidos a Ucrania

8. Marzo 2022
| No hay comentarios
Más ciberataques dirigidos a Ucrania

Compartir publicación

Durante la invasión rusa, otro programa malicioso, IsaacWiper, apareció después de HermeticWiper. Están dirigidos directamente a las organizaciones ucranianas. Además, los ataques se realizan con el malware HermeticWizard para su distribución en la red local y HermeticRansom como ransomware señuelo.

A raíz de la invasión rusa de Ucrania, los investigadores de ESET descubrieron nuevas familias de malware de limpieza que se utilizan en ataques cibernéticos dirigidos a organizaciones ucranianas. El primer ciberataque comenzó unas horas antes de la invasión rusa con ataques DDoS masivos contra los principales sitios web ucranianos. Algunos de los nuevos tipos de malware también se utilizaron en el curso de estos ataques: HermeticWiper para la eliminación de datos, HermeticWizard para la distribución en la red local y HermeticRansom como ransomware señuelo.

Los ataques DDoS y HermeticWiper son solo el comienzo

Con el inicio de la invasión rusa, comenzó un segundo ataque contra una red del gobierno ucraniano, también utilizando un limpiaparabrisas. Los investigadores de ESET lo llamaron IsaacWiper. Los artefactos de malware indican que las acciones habían sido planeadas durante varios meses. Hasta el momento, los expertos del fabricante europeo de seguridad informática no han podido asignar los ataques a un grupo de hackers conocido. No se puede descartar que, tarde o temprano, el malware también se utilice fuera de Ucrania.

“Actualmente estamos investigando si existe una conexión entre IsaacWiper y HermeticWiper. IsaacWiper fue detectado en una organización del gobierno ucraniano que no se vio afectada por HermeticWiper”, dice Jean-Ian Boutin, jefe de investigación de amenazas de ESET.

Ataques planeados con mucha anticipación

Los investigadores de ESET asumen que las organizaciones afectadas se vieron comprometidas mucho antes de que se usara el limpiador. “Esta evaluación se basa en varios hechos: las marcas de tiempo de compilación de HermeticWiper, la más antigua de las cuales es el 28 de diciembre de 2021; la fecha de emisión del Certificado de Firma de Código del 13 de abril de 2021; y la implementación de HermeticWiper a través de la política de dominio predeterminada en al menos un caso. Esto indica que los atacantes previamente tenían acceso a uno de los servidores de Active Directory de la víctima", continuó Boutin.

IsaacWiper apareció en la telemetría de ESET el 24 de febrero. La marca de tiempo de compilación más antigua encontrada fue el 19 de octubre de 2021, lo que significa que si la marca de tiempo no se ha manipulado, es posible que IsaacWiper se haya utilizado meses antes en operaciones anteriores.

Otra ola de ataques con IsaacWiper

Solo un día después de usar IsaacWiper, los atacantes lanzaron una nueva versión con registros de depuración. Esto podría indicar que los atacantes no pudieron eliminar algunas de las máquinas objetivo y agregaron mensajes de registro para comprender lo que sucedió. Los investigadores de ESET no han podido vincular estos ataques con un actor de amenazas conocido, ya que no hay similitudes de código significativas con otros ejemplos en la colección de malware de ESET.

HermeticWiper se propaga en las organizaciones atacadas

En el caso de HermeticWiper, ESET observó evidencia de movimiento lateral del malware dentro de las organizaciones objetivo y determinó que los atacantes probablemente tomaron el control de un servidor de Active Directory. Se utilizó un gusano personalizado, que los investigadores de ESET denominaron HermeticWizard, para propagar el limpiador en las redes comprometidas. Para el segundo limpiador, IsaacWiper, los atacantes usaron RemCom, una herramienta de acceso remoto, y posiblemente Impacket para moverse dentro de la red.

Además, HermeticWiper se borra del disco sobrescribiendo su propio archivo con bytes aleatorios. Esta medida anti-forense probablemente esté destinada a evitar el análisis del limpiaparabrisas después de un incidente. El ransomware señuelo HermeticRansom se implementó al mismo tiempo que HermeticWiper, posiblemente para ofuscar las acciones del limpiador.

El término "Hermético" se deriva de Hermetica Digital Ltd. ab, una empresa chipriota a la que se emitió el Certificado de firma de código. Según un informe de Reuters, este certificado parece no haber sido robado de Hermetica Digital. Más bien, es más probable que los atacantes se hicieran pasar por la empresa chipriota para obtener este certificado de DigiCert. ESET Research solicitó a la empresa emisora ​​DigiCert que revocara el certificado de inmediato.

Proceso de ciberataques en Ucrania

  • El 23 de febrero, el malware HermeticWiper (junto con HermeticWizard y HermeticRansom) se implementó contra varias agencias y organizaciones gubernamentales de Ucrania. Este ciberataque se produce pocas horas antes del inicio de la invasión rusa de Ucrania.
  • HermeticWiper se borra del disco sobrescribiendo su propio archivo. Este procedimiento tiene por objeto dificultar el análisis del incidente.
  • HermeticWiper se distribuye en redes de área local comprometidas mediante un gusano personalizado que hemos denominado HermeticWizard.
  • El 24 de febrero, comenzó una segunda ola de ataques dirigidos a una red del gobierno ucraniano, utilizando también un limpiador que ESET llama IsaacWiper.
  • El 25 de febrero, los atacantes lanzaron una nueva versión de IsaacWiper con registros de depuración que indicaban que no podían borrar algunas de las computadoras atacadas.
  • Los resultados del análisis indican que los ataques habían sido planeados durante varios meses.
  • Los expertos en seguridad de ESET aún no han podido asignar estos ataques a ningún grupo de piratas informáticos.
Más en ESET.com

 

Acerca de ESET

ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

ESET, Noticias de prensa
, , , , ,