Inicio Noticias IsaacWiper y HermeticWizard: nuevos programas de malware de gusanos y limpiaparabrisas dirigidos...

IsaacWiper y HermeticWizard: nuevos programas de malware de gusanos y limpiaparabrisas dirigidos a Ucrania

68
0

A medida que continúan desarrollándose las recientes hostilidades entre Rusia y Ucrania, los investigadores de ESET han descubierto varias familias de malware dirigidas a organizaciones ucranianas.
– El 23 de febrero de 2022, una campaña destructiva con HermeticWiper tuvo como objetivo a varias organizaciones ucranianas.
– Este ataque cibernético precedió al comienzo de la invasión de Ucrania por parte de las fuerzas de la Federación Rusa.
– Los vectores de acceso inicial variaron de una organización a otra. Confirmé un caso en el que se aplicó el limpiador a través de GPO y descubrí un gusano que se usaba para propagar este limpiador a otra red comprometida.
– El malware sugiere que los ataques fueron planeados hace unos meses.
– El 24 de febrero de 2022, comenzó un segundo ataque destructivo en una red del gobierno ucraniano, utilizando un programa de limpieza que llamé IsaacWiper.
– ESET Research aún no ha podido atribuir estos ataques a un malware identificado.

– HermeticWiper: inutiliza un sistema al corromper sus datos.
– HermeticWizard: Distribuya HermeticWiper en una red local a través de WMI y SMB.
– HermeticRansom: ransomware escrito en Go.

HermeticWiper se ha observado en cientos de sistemas en al menos cinco organizaciones ucranianas.

El 24 de febrero de 2022, los investigadores de ESET detectaron otro nuevo limpiaparabrisas en una red del gobierno ucraniano. Los investigadores de ESET lo llamaron IsaacWiper y actualmente están evaluando sus vínculos con HermeticWiper, si corresponde. Es importante señalar que se le vio en una organización que no se vio afectada por HermeticWiper.

otorgar

En este momento, los investigadores de ESET no han encontrado ningún vínculo tangible con un delincuente informático conocido. HermeticWiper, HermeticWizard y HermeticRansom no tienen una similitud de código significativa con otras muestras de la colección de malware de ESET. IsaacWiper aún no está asignado.

Leer:  Microsoft Envision Romania: el potencial de Rumania para la transformación digital y el papel de la ciberseguridad en la construcción de un futuro digital

Cronología

HermeticWiper y HermeticWizard están firmados por un certificado de firma de código asociado con Hermetica Digital Ltd el 13 de abril de 2021. ESET solicitó a la Junta emisora ​​(DigiCert) que revocara el certificado, lo que sucedió el 24 de febrero de 2022.

Según un informe de Reuters, parece que este certificado no fue robado de Hermetica Digital. Es posible que los atacantes se hicieran pasar por la empresa chipriota para obtener este certificado de DigiCert.

Los investigadores de ESET dicen con gran confianza que las organizaciones afectadas se vieron comprometidas mucho antes de la implementación de estos programas de limpieza. Su conclusión se basa en varios aspectos:

  • Compilaciones de marcas de tiempo de HermeticWiper PE, la más antigua es del 28 de diciembre de 2021

  • La fecha de emisión del certificado de firma de código es el 13 de abril de 2021

  • La implementación de HermeticWiper a través de GPO en al menos una instancia sugiere que los atacantes previamente tenían acceso a uno de los servidores de Active Directory de esa víctima.

Acceso inicial

Limpiaparabrisas hermético

Actualmente se desconoce el vector de acceso inicial, pero los investigadores de ESET han notado artefactos de movimiento lateral dentro de las organizaciones objetivo. En un caso, el malware de eliminación de datos se implementó a través de la política de dominio predeterminada (GPO), como se muestra en la ruta del sistema:

C:\Windows\system32\GroupPolicy\DataStore\0\sysvol\\ Políticas \ {31B2F340-016D-11D2-945F-00C04FB984F9} \ Máquina \ cc.exe

Esto indica que los atacantes probablemente tomaron el control del servidor de Active Directory.

En otros casos, es posible que se haya utilizado Impacket para implementar HermeticWiper. Una publicación en el blog de Symantec indica que el limpiador se implementó usando la siguiente línea de comando:

cmd.exe / Q / c mover CSIDL_SYSTEM_DRIVE \ temp \ sys.tmp1 CSIDL_WINDOWS \ policydefinitions \ postgresql.exe 1> \\ 127.0.0.1 \ ADMIN $ \ __ 1636727589.6007507 2> & 1

La última parte coincide con el comportamiento predeterminado del código wmiexec.py de Impacket que se encuentra en GitHub.

Finalmente, se utilizó un gusano personalizado al que denominé HermeticWizard para propagar HermeticWiper a redes comprometidas por SMB y WMI.

isaacwiper

El vector de acceso original también se desconoce actualmente. Los atacantes pueden haber usado herramientas como Impacket para moverse hacia los lados. En algunos dispositivos también noté RemCom, una herramienta de acceso remoto, que se implementó al mismo tiempo que IsaacWiper.

conclusiones

El informe de ESET detalla un ciberataque destructivo que afectó a organizaciones ucranianas el 23 de febrero de 2022 y un segundo ataque que afectó a otra organización ucraniana del 24 al 26 de febrero de 2022. En este momento, no hay información de que otros países hayan sido atacados.

Sin embargo, debido a la crisis actual en Ucrania, todavía existe el riesgo probable de que los mismos actores malintencionados lancen otras campañas contra países que apoyan al gobierno ucraniano o sancionen a entidades rusas.

Si te gusta este artículo, esperamos unirte a la comunidad de lectores en nuestra página de Facebook, con un Me gusta a continuación:

Artículo anteriorCanyon Power Bank PB-1001, batería externa inteligente con carga inalámbrica, ingresa al mercado rumano
Artículo siguienteGoogle anuncia los primeros dispositivos Android 12L
Ingeniero mecánico de formación, trabajé en la industria durante 10 años, sobre todo en el sector nuclear. Llevo varios años trabajando como redactor web, utilizando mis conocimientos técnicos para escribir artículos sobre temas específicos, como las finanzas,