Inicio NOTICIAS CaddyWiper a Hermetic Wiper: cómo se utiliza el malware en medio del...

CaddyWiper a Hermetic Wiper: cómo se utiliza el malware en medio del conflicto entre Rusia y Ucrania

65
0

La invasión de Rusia a Ucrania no solo está ligada a operaciones militares. Varios los informes han mostrado cómo se ha implementado el malware para apuntar a organizaciones gubernamentales en Ucrania, obteniendo control ilegal sobre sus sistemas, destruyéndolos y haciéndolos inoperables. No se puede confirmar si estos ataques se originaron en Rusia, pero varios informes de investigación sugieren que estos ataques son ataques cibernéticos respaldados por el estado. El último es CaddyWiper. Echamos un vistazo a cómo se ha utilizado el malware en este conflicto.

Ciberataques Rusia-Ucrania: Cronología de los eventos

15 de enero de 2022: Esta fue la primera vez que Microsoft Threat Intelligence Center (MSTIC) reveló que se estaba utilizando un malware, conocido como WhisperGate, para atacar organizaciones en Ucrania.

23 de febrero de 2022: Los investigadores de seguridad cibernética de SentinelLabs revelaron que otro conjunto de malware conocido como Limpiaparabrisas hermético estaba siendo utilizado contra organizaciones en Ucrania. El malware se dirige principalmente a dispositivos Windows, lo que provoca fallas en el arranque de los dispositivos de la víctima. (más sobre esto más adelante).

24 de febrero de 2022: software malicioso IsaacWiper se implementó en Ucrania, una línea de tiempo compartida por los investigadores de ESET. Eso también sugirió que los ataques de malware podrían haberse planeado estratégicamente, ya que, según se informa, habían estado en desarrollo meses antes de su lanzamiento.

7 de marzo de 2022: El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA, por sus siglas en inglés) confirmó la campaña de ciberataque dirigida a las agencias gubernamentales ucranianas con el malware MicroBackdoor. En un comunicado emitido por CERT-UA, se confirmó que organizaciones gubernamentales han sido blanco de varios ataques maliciosos.

14 de marzo de 2022: Un nuevo malware destructivo fue descubierto en Ucrania llamado como limpiaparabrisas. Fue descubierto por investigadores de seguridad de ESET, una empresa de ciberseguridad con sede en Eslovaquia.

Cavar más profundo

puerta susurrante: Es un malware de limpieza de registros de arranque que se utiliza para destruir los registros maestros de arranque o MBR de la víctima. MBR es una dirección que contiene el paradero del sistema operativo (SO) para que cuando arranque (encienda) su dispositivo, la computadora pueda identificar su sistema operativo e iniciar el proceso de arranque.

El malware está diseñado de tal manera que esencialmente cambia los registros MBR, de modo que cuando inicia su sistema, el sistema no identifica ningún archivo del sistema operativo, por lo que no se inicia y lo bloquea para siempre. Cabe señalar que WhisperGate es una nueva familia de malware.

Leer:  Final de la ISL: 100 por ciento de público permitido en el estadio de Goa

Según el informe Threat Intelligence de Microsoft, se está utilizando en una operación en curso dirigida a múltiples industrias en Ucrania, incluidas organizaciones gubernamentales, sin fines de lucro y de tecnología de la información. El malware es tan fuerte que borra y corrompe un sistema Windows hasta el punto en que los archivos y las unidades ya no se pueden recuperar ni utilizar. Todavía están surgiendo detalles sobre el motivo de WhisperGate y el actor de amenazas detrás de los ataques.

Limpiaparabrisas hermético: Los investigadores de ESET descubrieron primero el malware ‘limpiador de datos’ y dijeron que se detectó en cientos de computadoras en Ucrania. Hermetic Wiper, cuando se descarga a través de un enlace malicioso o un archivo adjunto, puede, como su nombre indica, ‘borrar’ por completo todos los datos del dispositivo de la víctima, de manera que se vuelve imposible recuperar cualquier información disponible en la computadora. Se presenta como uno de los programas maliciosos más inteligentes porque es totalmente capaz incluso de atacar cualquier herramienta de recuperación de datos disponible en el sistema.

Lo que hace que Hermetic sea más peligroso es el hecho de que puede transmitirse a varias computadoras conectadas en un servidor. ESET explica que si bien el malware puede parecer un ransomware que exige un «rescate» para desbloquear todos los datos, en realidad no tiene un «pago por sus datos» ni ningún mecanismo de recuperación de rescate.

El término «Hermético» se deriva de Hermetica Digital Ltd. Esta es una empresa con sede en Chipre a la que se emitió el certificado de firma de código, aunque, como indican los informes, es probable que los atacantes se hicieran pasar por la empresa para obtener el certificado. ESET Research solicitó a la empresa emisora, DigiCert, que revoque el certificado de inmediato.

isaacwiper: Después del ataque HermeticWiper, la empresa de ciberseguridad ESET detectó un segundo ataque de limpieza llamado IsaacWiper. La compañía reveló los detalles del segundo ataque en un nuevo blog fechado el 1 de marzo. Agregó que, según las observaciones, parece que los ataques fueron planeados durante meses, aunque no llegó a culpar a ninguna entidad en particular por estos. IsaacWiper se utilizó en ataques contra una red que no se vio afectada por HermeticWiper.

Leer:  ¿Cómo celebran los saudíes la Navidad? En silencio, pero menos.

En particular, IssacWiper funciona exactamente como el malware Hermetic Wiper. Los investigadores de ESET identificaron detalles en el código de IsaacWiper que sugieren que ha estado disponible desde octubre, lo que significa que podría haber sido diseñado meses antes de los ataques contra Ucrania y también podría haber sido utilizado en campañas anteriores.

Micromalware de puerta trasera: Según CERT-UA, el equipo de respuesta a incidentes del gobierno de Ucrania, el malware MicroBackdoor obtiene acceso remoto de alto nivel al sistema de la víctima negando el proceso de autenticación. Los correos electrónicos de phishing se envían a las víctimas que contienen un archivo llamado ‘dovidka.zip’, que contiene una imagen de cebo ‘image.jpg’, esta imagen maliciosa cuando se abre otorga a los piratas informáticos una autorización ilegal que hace que el sistema sea vulnerable.

Limpiaparabrisas: Este malware también se dirige a los datos del usuario. Según los investigadores, la herramienta borra no solo los datos del usuario, sino también la información de partición de cualquier unidad que haya tenido la mala suerte de estar conectada a una máquina afectada. El malware funciona corrompiendo cualquier archivo en la máquina de la víctima y sobrescribiéndolo con caracteres de bytes nulos, perdiendo los datos del usuario para siempre en el proceso. A diferencia de un malware ransomware, un malware de limpieza se usa para eliminar permanentemente los datos de una PC afectada.

mantenerse a salvo

La precaución y la vigilancia del usuario son claves para la seguridad cibernética. Prasad T, arquitecto sénior de seguridad de Verse Innovation, dijo a indianexpress.com que la conciencia sobre las amenazas de seguridad involucradas en la apertura de archivos adjuntos y enlaces presentes en correos electrónicos/mensajes sospechosos debería filtrarse en la comunidad de usuarios. “Se debe instalar un antivirus legítimo en el sistema que monitoreará y evitará la descarga y ejecución de archivos de malware y otros procedimientos inseguros”.

“Ucrania no tiene tiempo disponible. Como no hay tiempo para fortalecer la postura de seguridad, la mejor manera es reducir la exposición a Internet y aumentar la conciencia de seguridad entre los usuarios. También deberían hacer un análisis de vulnerabilidad detallado y corregir las vulnerabilidades de seguridad importantes con prioridad”, agregó.

Artículo anteriorEl líder Mohammedan Sporting se enfrenta a un Churchill sin victorias y aspira a su quinta victoria consecutiva
Artículo siguienteDisputa entre Leeds-Leipzig prueba reglas de transferencia de pandemia