Limpiaparabrisas y gusanos maliciosos detectados en los sistemas gubernamentales de Ucrania

Investigadores de ESET detallaron una nueva campaña de ciberataques dirigida a organizaciones de Ucrania en medio de la guerra que está librando contra Rusia.

La campaña tiene varios componentes aprovechados por los actores de amenazas, todos sin relación entre sí a partir de ahora. Estos son en su mayoría limpiaparabrisas y troyanos de propagación, sin atribución a ningún actor de amenazas conocido todavía. Los investigadores han enumerado las técnicas de ataque IOC y MITRE de todos estos para identificar y defender.

Índice de contenidos

    Limpiaparabrisas contra organizaciones de Ucrania

    Las agencias de seguridad y los expertos han estado advirtiendo durante mucho tiempo que los ataques cibernéticos contra Ucrania pueden aumentar en los próximos días, ya que la nación se entrega a la guerra con Rusia. Y está pasando, como vemos una nueva campaña señalada por los investigadores de ESET en salvaje

    Se dice que este es un ataque destructivo contra las computadoras en Ucrania, que aprovecha los siguientes componentes;

    • Limpiaparabrisas hermético: un limpiador que corrompe los datos y, en última instancia, hace que el sistema no funcione. Se dice que este malware de limpieza es capaz de borrarse del sistema de la víctima después de su trabajo, para evitar el análisis posterior al incidente por parte de los investigadores forenses.
    • Mago hermético: un propagador de malware que actualmente propaga HermeticWiper a través de la red local de una víctima a través de WMI y SMB.
    • Rescate hermético: Escrito en Go, esta es una nota de ransomware que solo se encuentra en los sistemas de las víctimas.

    Aunque tienen nombres comunes, estos tres componentes no están relacionados entre sí a partir de ahora. Los investigadores dijeron que no han encontrado ningún enlace o cadena de código que coincida entre ellos.

    Además, los vectores de atracción iniciales tampoco se conocen todavía, aunque HermeticWiper y HermeticRansom tienen pocas pistas de cómo ingresar a través de la Política de grupo.

    Además de estos, hay otro componente que se descubrió el 25 de febrero en algunos de los sistemas ucranianos, conocido como el Issac Wiper. Aunque tiene un vector inicial poco claro, se dice que usa herramientas como paquete de impacto para moverse lateralmente.

    Además, se dice que viene con RemCom, una herramienta de acceso remoto junto con IsaacWiper. Si bien los sistemas en los que se observó a IsaacWiper no se vieron afectados, HermeticWiper se detectó en cientos de sistemas en al menos cinco organizaciones ucranianas.

    Los investigadores aún están investigando estos componentes para obtener más detalles, ya que hasta ahora no han encontrado vínculos confiables con ningún actor de amenazas conocido. Sin embargo, dijeron que los atacantes comenzaron esta operación con mucha anticipación, ya que el año pasado se registraron algunas pistas, como las marcas de tiempo de los certificados utilizados por estos componentes.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir