Identifican un nuevo malware que ataca a organizaciones ucranianas

La guerra analógica tiene su correlato en el universo virtual. Prueba de ello son los ciberataques que se han identificado en los últimos días a organizaciones ucranianas y rusas. En este caso, se identificó un nuevo ataque con intenciones destructivas dirigido a computadoras en Ucrania que comenzó el 23 de febrero de 2022.

Esto ocurrió después de los ataques distribuidos de denegación de servicio (DDoS) contra algunos de los principales sitios web ucranianos y pocas horas después de la invasión militar rusa, según detallan desde la empresa Eset que identificó y reportó este incidente.

Estos ataques con objetivos destructivos utilizaron al menos tres componentes: HermeticWiper (detectado en cientos de sistemas y en al menos cinco organizaciones ucranianas), que hace que un sistema quede inoperativo al corromper sus datos; HermeticWizard, que distribuye HermeticWiper a través de una red local vía WMI y SMB y HermeticRansom, un ransomware escrito en Go.

El 24 de febrero de 2022 el equipo de investigación detectó otro nuevo malware del tipo wiper (que borra todo el contenido/información) en una red gubernamental ucraniana. Lo llamaron IsaacWiper. Este malware se encuentra en un archivo DLL o EXE de Windows sin firma Authenticode; y de acuerdo con la investigación es posible que IsaacWiper haya sido utilizado meses atrás en anteriores operaciones.

El 25 de febrero de 2022, los atacantes utilizaron una nueva versión de IsaacWiper con depuración de logs. Esto puede indicar que los atacantes no pudieron llevar a cabo el borrado en algunas de las máquinas apuntadas previamente y agregaron mensajes de log para comprender lo que estaba sucediendo.

“Este informe detalla lo que fue un ciberataque con fines destructivos que afectó a organizaciones ucranianas el 23 de febrero de 2022 y un segundo ataque que afectó a una organización ucraniana diferente y que ocurrió del 24 al 26 de febrero de 2022. En este momento, no tenemos indicios de que otros países hayan sido atacados. Sin embargo, debido a la crisis actual en Ucrania, todavía existe el riesgo de que los mismos actores de amenazas lancen nuevas campañas contra países que respaldan al gobierno ucraniano o que sancionan a entidades rusas”, concluyen desde el equipo de investigación.

Actualmente están evaluando sus vínculos, si es que los hay, con HermeticWiper. Es importante señalar que IsaacWiper se detectó en una organización que no había sido afectada por HermeticWiper. Por lo pronto se ha visto que no comparten ninguna similitud de código significativa con otras muestras que componen la colección de malware de la empresa de ciberseguridad.

“No tiene similitud de código con HermeticWiper y es mucho menos sofisticado. Dada la cronología de los acontecimientos, es posible que ambos estén relacionados, pero aún no hemos encontrado ninguna conexión sólida que nos permita afirmarlo.”, mencionan desde Eset.

HermeticWiper y HermeticWizard fueron firmados mediante un certificado de firma de código asignado a Hermetica Digital Ltd emitido el 13 de abril de 2021. La compañía solicitó a la autoridad certificadora (DigiCert) que revocara el certificado, lo cual hizo el 24 de febrero de 2022. Según un informe de Reuters, parece que este certificado no fue robado de Hermetica Digital, sino que probablemente los atacantes se hicieron pasar por la empresa chipriota para obtener este certificado de DigiCert.

Los investigadores de aseguran conque las organizaciones afectadas fueron comprometidas mucho antes de que se distribuyeran estos wiper.

Los investigadores también detectaron el uso de HermeticRansom, un ransomware escrito en Go, en ataques a Ucrania al mismo tiempo que corría la campaña de HermeticWiper. HermeticRansom fue reportado por primera vez durante las primeras horas del 24 de febrero de 2022 UTC, a través de un tweet.

SEGUIR LEYENDO