Segundo nuevo limpiaparabrisas de datos ‘IsaacWiper’ apunta a Ucrania después de la invasión rusa

Se ha observado un nuevo malware de limpiaparabrisas de datos desplegado contra una red gubernamental ucraniana sin nombre, un día después de que los ataques cibernéticos destructivos golpearan a múltiples entidades en el país antes del inicio de la invasión militar de Rusia.

La firma eslovaca de ciberseguridad ESET bautizó al nuevo malware como “IsaacWiper””, que dijo que fue detectado el 24 de febrero en una organización que no se vio afectada por HermeticWipe(también conocido como FoxBlade), otro malware de borrado de datos que se dirigió a varias organizaciones el 23 de febrero como parte de una operación de sabotaje destinada a hacer que las máquinas fueran inoperables.

Un análisis más detallado de los ataques HermeticWiper, que infectaron al menos a cinco organizaciones ucranianas, han revelado un componente de gusano que propaga el malware a través de la red comprometida y un módulo de ransomware que actúa como una “distracción de los ataques del limpiaparabrisas”, corroborando un informe previo de Symantec.

“Estos ataques destructivos aprovecharon al menos tres componentes: HermeticWiper para borrar los datos, HermeticWizard para propagarse en la red local y HermeticRansom actuando como un ransomware señuelo”, dijo la compañía.

En un análisis separado del nuevo ransomware basado en Golang, la compañía rusa de ciberseguridad Kaspersky, que nombró al malware “Elections GoRansom”, lo caracterizó como una operación de último minuto, y agregó que “probablemente se usó como una cortina de humo para el ataque HermeticWiper debido a su estilo no sofisticado y su mala implementación”.

Como medida anti-forense, HermeticWiper también está diseñado para dificultar el análisis borrándose del disco sobrescribiendo su propio archivo con bytes aleatorios.

ESET dijo que no encontró “ninguna conexión tangible” para atribuir estos ataques a un actor de amenazas conocido, con los artefactos de malware implicando que las intrusiones habían sido planeadas durante varios meses, sin mencionar el hecho de que las entidades objetivo sufrieron compromisos mucho antes del despliegue del limpiaparabrisas.

“Esto se basa en varios hechos: las marcas de tiempo de la compilación HermeticWiper PE, la más antigua es el 28 de diciembre de 2021; la fecha de emisión del certificado de firma de código del 13 de abril de 2021; y el despliegue de HermeticWiper a través de la política de dominio predeterminada en al menos una instancia, lo que sugiere que los atacantes tenían acceso previo a uno de los servidores de Active Directory de esa víctima”, dijo Jean-Ian Boutin, jefe de investigación de amenazas de ESET.

También se desconocen los vectores de acceso inicial utilizados para desplegar ambos limpiaparabrisas, aunque se sospecha que los atacantes aprovecharon herramientas como Impacket y RemCom, un software de acceso remoto, para el movimiento lateral y la distribución de malware.

Además, IsaacWiper no comparte superposiciones a nivel de código con HermeticWiper y es sustancialmente menos sofisticado, incluso cuando se propone enumerar todas las unidades físicas y lógicas antes de proceder a llevar a cabo sus operaciones de borrado de archivos.

“El 25 de febrero de 2022, los atacantes lanzaron una nueva versión de IsaacWiper con registros de depuración”, dijeron los investigadores. “Esto puede indicar que los atacantes no pudieron borrar algunas de las máquinas objetivo y agregaron mensajes de registro para comprender lo que estaba sucediendo”.

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies