Nuevas amenazas cibernéticas en Ucrania: Descubren un malware destructivo con impacto masivo
Ucrania está sufriendo una amplia gama de ciberataques. Uno de los más interesantes es un malware desconocido con carga destructiva que ha aparecido en cientos de máquinas ucranianas últimamente.
El 23 de febrero, un tweet de ESET Research afirmaba haber descubierto un nuevo malware utilizado en Ucrania que borra datos. La línea temporal sigue a los ataques DDoS dirigidos a varios sitios web importantes de Ucrania (Figura A). La investigación fue rápidamente confirmada por Symantec, una división de Broadcom Software.
Figura A
Una compleja línea temporal de eventos cibernéticos dirigidos a Ucrania
Antes de las operaciones DDoS y el descubrimiento de este nuevo borrado, otro ataque golpeó a Ucrania a mediados de enero, llamado WhisperGate, expuesto por Microsoft el 15 de enero.
Microsoft informó que WhisperGate se había dejado caer en sistemas víctimas (múltiples organizaciones gubernamentales, sin fines de lucro y de tecnología de la información) en Ucrania el 13 de enero. El malware había sido diseñado para parecer un ransomware, pero en realidad no tenía código de recuperación de rescate en el archivo binario. Se ha desarrollado para ser destructivo y dejar sus objetivos inutilizables.
Paralelamente a esta primera operación de borrado, ocurrieron una serie de ataques a sitios web en la noche entre el 13 y 14 de enero, según informó CERT-UA, el equipo oficial del gobierno para responder a incidentes informáticos en Ucrania.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelVarios sitios web ucranianos fueron desfigurados para mostrar un mensaje escrito en ucraniano, ruso y polaco (Figura B). WhisperGate también se dejó caer y se utilizó en estos sitios web. Según el Servicio Estatal Ucraniano de Comunicación Especial y Protección de la Información, el 13 y 14 de enero de 2022, se atacaron casi 70 sitios web ucranianos (domésticos e internacionales).
Figura B
La traducción aproximada del mensaje mostrado en los sitios web desfigurados es:
"¡Ucranianos! Todos sus datos personales han sido enviados a una red pública. Todos los datos de su ordenador están destruidos y no pueden ser recuperados. Toda la información sobre usted está expuesta públicamente, espere lo peor. Esto es para usted, para su pasado, futuro y el futuro. Por Volhynia, OUN UPA, Galicia, Polonia y áreas históricas".
El mensaje mostrado en los sitios web desfigurados era una imagen. Las imágenes, a diferencia del texto, tienen metadatos, a veces incluyendo coordenadas físicas. En este caso, la imagen tenía una latitud y longitud específicas: un estacionamiento de la Escuela de Economía de Varsovia en Polonia. La elección de usar una imagen en lugar de texto probablemente se hizo para enviar una señal falsa, como esa posición del GPS.
Serhiy Demedyuk, el subsecretario del consejo de seguridad y defensa nacional de Ucrania, culpó del ataque a un grupo llamado UNC1151. Añadió que UNC1151 es un grupo de ciberespionaje afiliado a los servicios especiales de la República de Bielorrusia.
Cómo proteger tu computadora de los virus: métodos y consejosEl 15 de febrero, comenzaron nuevos ataques DDoS contra el Ministerio de Defensa de Ucrania, además de otros objetivos.
El siguiente evento en esta gran serie de eventos fue la aparición del malware HermeticWiper.
HermeticWiper: Un malware muy eficiente y destructivo
El 23 de febrero se dieron a conocer informes sobre HermeticWiper, cuando ESET inició un hilo en Twitter al respecto.
Rápidamente se realizaron análisis técnicos. HermeticWiper es un malware cuyo propósito es dejar los dispositivos Windows inutilizables al borrar partes de ellos (Figura C).
Figura C
Una característica particularmente interesante de este borrador es que es un malware muy bien escrito con muy pocas funciones estándar, a diferencia de la mayoría de los demás malware que se propagan.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasEl método que utiliza para borrar los datos ha sido utilizado en el pasado por algunos actores de amenazas con los infames borradores Shamoon y Destover: Abusa de un controlador legítimo de administración de particiones de Windows para realizar sus operaciones de escritura. En el caso de HermeticWiper, se abusó de un administrador de particiones EaseUS (empntdrv.sys).
El malware contiene varias versiones diferentes del controlador y utiliza la versión adecuada según la versión y arquitectura del sistema operativo en el que se ejecuta. Estas diferentes versiones del controlador están comprimidas como recursos ms-comprimidos dentro del archivo binario del malware. Dado que el malware solo tiene 114 KB, estos datos del controlador representan más del 70% del mismo.
Una de las primeras acciones que realiza HermeticWiper es desactivar la copia de seguridad del volumen, un sistema que puede ayudar a los administradores a restaurar un sistema bloqueado.
Luego, HermeticWiper corrompe el Registro de arranque maestro (MBR) del dispositivo y borra archivos en diferentes carpetas estratégicas del sistema operativo Windows:
- C:\Documents and Settings\
- C:\System Volume Information\
- C:\Windows\SYSVOL\
- C:\Windows\System32\winevt\Logs
La última acción destructiva consiste en determinar si el sistema de archivos de la partición del disco duro es FAT o NTFS y corromper la partición en consecuencia. Una vez hecho esto, el sistema se ve forzado a apagarse y nunca podrá volver a arrancar.
De esta manera, el malware asegura que el sistema sea totalmente inutilizable.
Protege tus contraseñas con PAM: Tu aliado para la seguridadHasta ahora, HermeticWiper solo se ha propagado y utilizado en Ucrania. Por cierto, el nombre de este malware proviene del hecho de que utiliza un certificado firmado de la empresa Hermetica Digital Ltd y era válido hasta abril de 2021. Según la investigación de SentinelOne sobre HermeticWiper, "es posible que los atacantes hayan utilizado una empresa ficticia o hayan apropiado una empresa inactiva para emitir este certificado digital".
Cómo protegerse de HermeticWiper
No se espera que HermeticWiper se utilice fuera de Ucrania. Los indicadores de compromiso (IOC) se han compartido junto con reglas YARA para ayudar a detectar el malware en los sistemas.
A diferencia de otros malware cuyas acciones suelen ser controladas por un actor de amenazas a través de comunicaciones en la red, HermeticWiper no necesita ninguna. Por lo tanto, no hay un patrón de red que analizar para detectar el malware, excepto si se descarga desde una red, en cuyo caso puede ser útil desplegar inspección profunda de paquetes (DPI) para detectar el archivo binario. Los puntos finales deben ser escaneados en busca de estos IOC.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevas amenazas cibernéticas en Ucrania: Descubren un malware destructivo con impacto masivo , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados