Desde que iniciaron los conflictos entre Rusia y Ucrania los ciberataques son cada vez más frecuente, ESET detecto varias familias de malware los sistemas de organizaciones ucranianas. Donde al menos cinco organizaciones y cientos de sistemas . HermeticWiper fue uno de los primeros malware detectados el 23 de febrero pocas horas después de la invasión a Ucrania con el fin de destruir información de los ataques. ESET confirma un caso en el que el wiper fue droppeado mediante GPO y que ocultaba un worm utilizado para propagar el wiper en otra red comprometida.
Estos ataques con objetivos destructivos utilizaron al menos tres componentes:
- HermeticWiper: hace que un sistema quede inoperativo al corromper sus datos
- HermeticWizard: distribuye HermeticWiper a través de una red local vía WMI y SMB
- HermeticRansom: ransomware escrito en Go.
El 24 de febrero de 2022, comenzó un segundo ataque con intenciones destructivas contra una red gubernamental ucraniana, utilizando un wiper al que hemos llamado IsaacWiper., hasta el momento ESET Research aún no ha podido atribuir estos ataques a un actor de amenazas conocido.
El equipo de ESET detectó otro nuevo malware del tipo wiper en una red gubernamental ucraniana. Lo llamaron IsaacWiper y actualmente están evaluando sus vínculos, si es que los hay, con HermeticWiper. Es importante señalar que IsaacWiper se detectó en una organización que no había sido afectada por HermeticWiper.
“Hasta el momento no hemos identificado ninguna conexión tangible con un actor de amenazas conocido. HermeticWiper, HermeticWizard y HermeticRansom no comparten ninguna similitud de código significativa con otras muestras que componen la colección de malware de ESET. Por su parte, IsaacWiper tampoco ha sido atribuido.”, comentan desde el equipo de investigación de ESET.
HermeticWiper y HermeticWizard fueron firmados mediante un certificado de firma de código asignado a Hermetica Digital Ltd emitido el 13 de abril de 2021. ESET solicitó a la autoridad certificadora (DigiCert) que revocara el certificado, lo cual hizo el 24 de febrero de 2022.
Según un informe de Reuters, parece que este certificado no fue robado de Hermetica Digital, sino que probablemente los atacantes se hicieran pasar por la empresa chipriota para obtener este certificado de DigiCert.
Para ESET el exceso de confianza de las organizaciones afectadas fue comprometidas mucho antes de que se distribuyeran estos wiper. Esto se basa en varios hechos:
Según las marcas de tiempo de compilación del PE de HermeticWiper la más antigua es del 28 de diciembre de 2021
La fecha de emisión del certificado de firma de código es del 13 de abril de 2021
La distribución de HermeticWiper a través de GPO en al menos una de las instancias sugiere que los atacantes tenían acceso previo a uno de los servidores de Active Directory de esa víctima.
ESET también detectaron el uso de HermeticRansom, un ransomware escrito en Go, en ataques a Ucrania al mismo tiempo que corría la campaña de HermeticWiper. HermeticRansom fue reportado por primera vez durante las primeras horas del 24 de febrero de 2022 UTC, a través de un tweet. La telemetría de ESET muestra una distribución de HermeticRansom mucho más pequeña en comparación con HermeticWiper. Este ransomware se distribuyó al mismo tiempo que HermeticWiper, posiblemente para ocultar las acciones del wiper.
About The Author
También te puede interesar
Visa Payments Day 2025 Guatemala, Honduras y El Salvador: La plataforma regional para impulsar la transformación de los pagos en la región
LG ES GALARDONADA CON MÚLTIPLES PREMIOS A LA INNOVACIÓN EN EL CES 2026
Tu stream, tus reglas: Opera GX lanza el nuevo Modo Streaming, totalmente personalizable y privado
¡Rumbo a la final! Solve for Tomorrow 2025 anuncia los equipos ganadores por país
SEGA® se asocia con el Comité Olímpico Internacional en un nuevo acuerdo de licencia plurianual que celebra la Marca Olímpica y Sonic the Hedgehog™