HermeticWiper plantea un riesgo cibernético creciente para Ucrania

Los investigadores de ESET han descubierto varias amenazas nuevas para el gobierno ucraniano, incluido un componente de HermeticWiper compatible con gusanos.

La semana pasada, el proveedor de antimalware publicó un blog que detalla el nuevo malware de borrado de datos al que denominó HermeticWiper y que afectó a cientos de máquinas en Ucrania. Como resultado, al menos cinco organizaciones en el país sufrieron ataques cibernéticos, y ESET señaló el momento en que "precedió a la invasión militar rusa por unas pocas horas".

En un nuevo blog este martes, ESET dijo que no solo descubrió un componente de HermeticWiper llamado HermeticWizard, sino que también detectó otro limpiador en una red del gobierno ucraniano que está rastreando como IsaacWiper.

El malware más reciente se descubrió el 24 de febrero, un día después de que se usara HermeticWiper en la "campaña destructiva" dirigida a varias organizaciones de Ucrania. El segundo ataque que involucró a IsaacWiper afectó a la organización ucraniana del 24 al 26 de febrero, según el blog.

Los investigadores están evaluando actualmente si existe un vínculo entre los malwares.

"Es importante tener en cuenta que [IsaacWiper] se vio en una organización que no se vio afectada por HermeticWiper", dijo el blog.

Hasta la fecha, no se han realizado atribuciones y ESET "no tiene indicios de que otros países hayan sido atacados".

“Sin embargo, debido a la crisis actual en Ucrania, todavía existe el riesgo de que los mismos actores de amenazas lancen más campañas contra países que respaldan al gobierno ucraniano o que sancionan a entidades rusas”, dijo el blog.

Parte de ese riesgo aumenta con el malware hermético HermeticWizard, que aumenta el potencial de ataques indirectos como se vio en 2017 con NotPetya y WannaCry.

Durante un seminario web de Recorded Future sobre la invasión rusa a Ucrania, el analista de amenazas de Insikt Group, Craig Terron, dijo que el uso de banderas falsas —específicamente el uso de pseudo ransomware en el ataque HermeticWiper— era similar a WhisperGate en enero, y NotPetya y Bad Rabbit en 2017.

Además del nuevo malware, ESET también observó ransomware que denominó HermeticRansom "que se usa en Ucrania al mismo tiempo que la campaña HermeticWiper". Una posibilidad que los investigadores atribuyen a la sincronización fue para "ocultar las acciones del limpiaparabrisas".

En un tuit del martes, ESET dijo que HermeticWizard fue "firmado con el mismo certificado de firma de código que HermeticWiper, emitido a Hermetica Digital Ltd". ESET dijo que evaluó "con gran confianza que las organizaciones afectadas se vieron comprometidas mucho antes de la implementación del limpiaparabrisas", en parte porque la fecha de emisión del certificado de firma de código fue abril de 2021. No se implementó en un sistema en Ucrania hasta el 23 de febrero.

Aunque actualmente se desconoce el vector de acceso inicial, según el blog, hay indicios de que los atacantes pueden haber tomado el control del Active Directory.

El vector de acceso inicial sigue siendo desconocido para IsaacWiper, pero ESET observó el uso de una herramienta de acceso remoto, RemCom, en algunas máquinas. Luego, el gusano se utilizó para propagar el limpiaparabrisas en las redes locales.

"No tiene similitud de código con HermeticWiper y es mucho menos sofisticado", dijo el blog.

Aun así, ESET dijo que está monitoreando de cerca la situación y actualizará el blog a medida que haya más información disponible.