ESET detalla el nuevo malware IsaacWiper utilizado en Ucrania

Los expertos en malware de ESET han compartido detalles de un segundo nuevo malware de limpieza que se usó en un ataque cibernético contra una organización no revelada en Ucrania cuando se desarrolló la invasión rusa a fines de la semana pasada.

IsaacWiper apareció por primera vez en la telemetría de ESET el 24 de febrero y se usó el viernes 25 de febrero contra una red gubernamental no revelada en Ucrania. Los atacantes aprovecharon RemCom, una toma de acceso remoto e Impacket para el movimiento lateral dentro de la red. La marca de tiempo de compilación ejecutable portátil (PE) más antigua asociada con él fue el 19 de octubre de 2021, lo que sugiere que puede haber sido utilizado en otras operaciones.

Más tarde, el 26 de febrero, el operador de IsaacWiper lanzó una nueva versión que incorporaba registros de depuración, lo que, según el jefe de investigación de amenazas de ESET, Jean-Ian Boutin, puede ser una indicación de que el ataque inicial no logró borrar algunas de las máquinas objetivo, y los operadores querían entender por qué. había fallado.

Boutin y su equipo se negaron a atribuir a IsaacWiper a ningún actor conocido, ya que carece de similitud de código con otras muestras de malware conocidas.

Sin embargo, su uso sigue a una serie de ataques cibernéticos que comenzaron el 23 de febrero, inmediatamente antes de la invasión rusa, utilizando un malware de limpieza similarmente destructivo llamado HermeticWiper, con una marca de tiempo de compilación PE del 28 de diciembre de 2021, que se implementó contra objetivos en Ucrania.

Más contenido para leer:  Cómo Veeam ayudó a la cadena de supermercados Franprix a escapar de su infierno de copias de seguridad

Nuevamente, no está claro si existe algún vínculo entre los dos programas maliciosos; lo que se sabe es que IsaacWiper es mucho menos sofisticado que HermeticWiper.

“Con respecto a IsaacWiper, actualmente estamos evaluando sus vínculos, si los hay, con HermeticWiper. Es importante señalar que se vio en una organización gubernamental ucraniana que no se vio afectada por HermeticWiper”, dijo Boutin.

“Esto se basa en varios hechos: las marcas de tiempo de compilación de HermeticWiper PE, la más antigua es el 28 de diciembre de 2021; la fecha de emisión del certificado de firma de código del 13 de abril de 2021; y la implementación de HermeticWiper a través de la política de dominio predeterminada en al menos una instancia, lo que sugiere que los atacantes tenían acceso previo a uno de los servidores de Active Directory de esa víctima”.

Con claras similitudes con el malware WhisperGate utilizado contra Ucrania en las últimas semanas, HermeticWiper se vinculó rápidamente con los actores de amenazas rusos. Contiene tres componentes distintos: HermeticWiper para borrar datos, HermeticWizard para movimiento lateral y HermeticRansom para actuar como ransomware señuelo.

Las evaluaciones anteriores de HermeticWiper sugirieron que su certificado de firma de código había sido robado de una empresa con sede en Chipre llamada Hermetica Digital, pero un análisis más profundo ahora sugiere que este no es el caso, sino que los atacantes pueden haberse hecho pasar por Hermetica Digital para defraudar a DigiCert con un certificado legítimo. Esto ha sido revocado desde entonces.

Más detalles de ambos programas maliciosos, incluidos los indicadores de compromiso (IOC) y las técnicas Mitre ATT&CK, están disponibles en ESET.

Más contenido para leer:  Verizon y Samsung completan una sesión de datos 5G de banda C totalmente virtualizada

En lo que respecta a los ataques cibernéticos más allá de las fronteras de Ucrania, Boutin y su equipo dijeron que no tienen evidencia de que HermeticWiper o IsaacWiper hayan atacado a otros países.

Sin embargo, agregaron: “Debido a la crisis actual… todavía existe el riesgo de que los mismos actores de amenazas lancen más campañas contra países que respaldan al gobierno ucraniano o que sancionan a entidades rusas”.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales