in Tecnología

Guerra Rusia-Ucrania: después de HermeticWiper, se observó un segundo malware llamado IsaacWiper

1.9k Views

Isaacwiper, Hermetic Wiper, Hermetic Wiper malware, Russia-Ukraine cyberattacks, Russia-Ukraine cyberattack

Mientras Rusia continúa con su invasión terrestre de Ucrania, también se han informado ciberataques contra Ucrania. Después del ataque HermeticWiper, la firma de seguridad cibernética ESET detectó un segundo ataque de limpieza llamado IsaacWiper, que comenzó el 24 de febrero. La compañía reveló los detalles del segundo ataque en un nuevo blog fechado el 1 de marzo. Agregó que, según las observaciones, parece como los ataques fueron planeados durante meses, aunque no ha llegado a culpar a ninguna entidad en particular por estos.

“Con respecto a IsaacWiper, actualmente estamos evaluando sus vínculos, si los hay, con HermeticWiper. Es importante señalar que se vio en una organización gubernamental ucraniana que no se vio afectada por HermeticWiper”, dijo Jean-Ian Boutin, jefe de investigación de amenazas de ESET. En una nueva publicación de blog, la compañía declaró que el ataque IsaacWiper probablemente «comenzó poco después de la invasión militar rusa y golpeó una red gubernamental ucraniana».

ESET también ha presentado una cronología de todos los ciberataques que ha observado contra Ucrania hasta el momento.

23 de febrero: HermeticWiper y compañía

Si bien HermeticWiper junto con HermeticWizard y HermeticRansom se dirigieron a varias organizaciones ucranianas el 23 de febrero, esta precedió al inicio de la invasión rusa de Ucrania por unas pocas horas.

HermeticWiper, como sugiere el nombre, es un malware que borra todos los datos del disco afectado de un dispositivo infectado. También «se borra del disco sobrescribiendo su propio archivo con bytes aleatorios». Según ESET, «la medida probablemente tenga la intención de evitar el análisis del limpiaparabrisas en un análisis posterior al incidente». El malware se propaga dentro de las redes locales comprometidas por un gusano personalizado al que llamaron HermeticWizard.

ESET también ha observado a HermeticRansom, que, según dicen, actúa como un «ransomware señuelo» para desviar la atención del malware que borra el disco.

El término «Hermetic» se deriva de Hermetica Digital Ltd. Esta es una empresa con sede en Chipriota a la que se emitió el certificado de firma de código, aunque los informes indican que los atacantes probablemente se hicieron pasar por la empresa para obtener el certificado. ESET Research solicitó a la empresa emisora, DigiCert, que revoque el certificado de inmediato.

24 de febrero: IsaacWiper se implementa

El 24 de febrero, comenzó un segundo ataque de borrado llamado IsaacWiper, según ESET. Luego, el 25 de febrero, ESET dice que «los atacantes lanzaron una nueva versión de IsaacWiper con registros de depuración, lo que puede indicar que no pudieron borrar algunas de las máquinas objetivo».

Ataques planeados durante meses

Según ESET, las organizaciones afectadas se vieron comprometidas mucho antes de la implementación del limpiador. Se han observado marcas de tiempo que se remontan al 28 de diciembre de 2021 junto con una “fecha de emisión del certificado de firma de código del 13 de abril de 2021”, dijo Boutin.

“La implementación de HermeticWiper a través de la política de dominio predeterminada en al menos una instancia, lo que sugiere que los atacantes tenían acceso previo a uno de los servidores de Active Directory de esa víctima”, agregó Boutin. Para IsaacWiper, la marca de tiempo de compilación más antigua encontrada fue el 19 de octubre de 2021.



Fuente

Written by Redacción NM

Deja una respuesta

Bully Ray listo para las sesiones de Broken Skull de Steve Austin

Bully Ray listo para las sesiones de Broken Skull de Steve Austin
Noticias y chismes de la farándula mundial

Pamela Anderson contará su versión de la historia en documental de Netflix