IsaacWiper, el nuevo malware con que es atacada Ucrania desde el 23 de febrero y a pocas horas de la invasión de Rusia a territorio ucranianos, ESET detecto diferentes familias de malware con los que han registrado al menos 5 organizaciones afectadas.
De acuerdo a ESET IsaacWiper se encuentra en un archivo DLL o EXE de Windows sin firma Authenticode; apareció en la telemetría de ESET el 24 de febrero de 2022. La marca de tiempo de compilación del PE más antigua que se encontró es del 19 de octubre de 2021, lo que significa que, si no se manipuló la marca de tiempo de compilación del PE, es posible que IsaacWiper haya sido utilizado meses atrás en anteriores operaciones.
“No tiene similitud de código con HermeticWiper y es mucho menos sofisticado. Dada la cronología de los acontecimientos, es posible que ambos estén relacionados, pero aún no hemos encontrado ninguna conexión sólida que nos permita afirmarlo.”, mencionan desde ESET.
Desde el 25 de febrero de 2022, los ciberataques son realizados por una nueva versión de IsaacWiper con depuración de logs. Esto indicar que los atacantes no pudieron llevar a cabo el borrado en algunas de las máquinas apuntadas previamente y agregaron mensajes de log para comprender lo que estaba sucediendo.
“Este informe detalla lo que fue un ciberataque con fines destructivos que afectó a organizaciones ucranianas el 23 de febrero de 2022 y un segundo ataque que afectó a una organización ucraniana diferente y que ocurrió del 24 al 26 de febrero de 2022. En este momento, no tenemos indicios de que otros países hayan sido atacados. Sin embargo, debido a la crisis actual en Ucrania, todavía existe el riesgo de que los mismos actores de amenazas lancen nuevas campañas contra países que respaldan al gobierno ucraniano o que sancionan a entidades rusas.”, concluyen del equipo de investigación de ESET.
Previo a Isaac Wiper los sistemas de miles de organizaciones ucranianas fueron atacadas por HermeticWiper, uno de los primeros malware detectados el 23 de febrero pocas horas después de la invasión a Ucrania con el fin de destruir información de los ataques. ESET confirmó un caso en el que el wiper fue droppeado mediante GPO y que ocultaba un worm utilizado para propagar el wiper en otra red comprometida.
Estos ataques con objetivos destructivos utilizaron al menos tres componentes:
- HermeticWiper: hace que un sistema quede inoperativo al corromper sus datos.
- HermeticWizard: distribuye HermeticWiper a través de una red local vía WMI y SMB.
- HermeticRansom: ransomware escrito en Go.
HermeticWiper y HermeticWizard fueron firmados mediante un certificado de firma de código asignado a Hermetica Digital Ltd emitido el 13 de abril de 2021. ESET solicitó a la autoridad certificadora (DigiCert) que revocara el certificado, lo cual hizo el 24 de febrero de 2022.
Según un informe de Reuters, parece que este certificado no fue robado de Hermetica Digital, sino que probablemente los atacantes se hicieran pasar por la empresa chipriota para obtener este certificado de DigiCert.
About The Author
