Paralelamente a la guerra que se vive en Europa, continúan los ciberataques, los cuales se identificaron en los recientes días y atacan a organizaciones ucranianas y rusas. En este caso, se identificó una nueva agresión con intenciones destructivas dirigida a computadoras en Ucrania que comenzó en febrero.
Esto ocurrió después de los ataques distribuidos de denegación de servicio (DDoS) contra algunos de los principales sitios web ucranianos, pocas horas después de la invasión militar rusa, según detallaron desde la empresa Eset, la cual identificó y reportó este incidente.
En dichos ataques con objetivos destructivos utilizaron al menos tres componentes.
Primero HermeticWiper (detectado en cientos de sistemas y en al menos cinco organizaciones ucranianas), que hace que un sistema quede inoperativo al corromper sus datos; luego HermeticWizard, que distribuye HermeticWiper a través de una red local vía WMI y SMB, finalmente HermeticRansom, un ransomware escrito en Go.
El 24 de febrero, el equipo de investigación detectó otro nuevo malware del tipo wiper (que borra todo el contenido/información) en una red gubernamental ucraniana. Lo llamaron IsaacWiper.
Este malware se encuentra en un archivo DLL o EXE de Windows sin firma Authenticode; y de acuerdo con la investigación es posible que IsaacWiper haya sido utilizado meses atrás en anteriores operaciones.
De esa manera, el 25 de febrero de 2022, en los atacantes utilizaron una nueva versión de IsaacWiper con depuración de logs. Esto puede indicar que los atacantes no pudieron llevar a cabo el borrado en algunas de las máquinas apuntadas previamente y añadieron mensajes de log para comprender lo que estaba sucediendo.
Actualmente se evalúan sus vínculos, si es que los hay, con HermeticWiper. IsaacWiper se detectó en una organización que no fue afectada por HermeticWiper. Por lo pronto, se percibió que no comparten ninguna similitud de código significativa con otras muestras que componen la colección de malware de la empresa de ciberseguridad.
Asimismo, HermeticWiper y HermeticWizard fueron firmados mediante un certificado de firma de código asignado a Hermetica Digital Ltd emitido el 13 de abril de 2021.
La compañía solicitó a la autoridad certificadora (DigiCert) que revocara el certificado, lo cual hizo el 24 de febrero. Según un informe de la agencia Reuters, aparentemente este certificado no fue robado de Hermetica Digital, sino que se presume que los atacantes se hicieron pasar por la empresa chipriota para obtener este certificado de DigiCert.
Además, los investigadores aseguran que las organizaciones afectadas fueron comprometidas mucho antes que se distribuyeran estos wiper.
Finalmente, detectaron el uso de HermeticRansom, un ransomware escrito en Go, en ataques a Ucrania, al mismo tiempo que corría la campaña de HermeticWiper. HermeticRansom fue reportado por primera vez durante las primeras horas del 24 de febrero UTC (Tiempo Universal Coordinado), a través de un tweet.
/MDCB
