Rusia usa malware nunca antes visto
hace 3 años
también te interesará
[EN VIDÉO] Ciberespionaje: ¿cuáles son las amenazas? Interferencias en elecciones, robo de datos industriales, hackeo de sistemas militares… El ciberespionaje ha despegado en las últimas dos décadas.
Junto con sus ataques físico sobre el país, Rusia está comprometida en un verdadero guerra cibernética contra Ucrania. El país parece haber preparado bien su guerra híbrido de antemano, como lo demuestra el uso del nuevo malware "limpiador". Fue informado por investigadores de ciberseguridad de Symantec y ESET, y se denominó HermeticWiper o troyanos.Killdisk.
La intención esta vez no es interrumpir temporalmente ciertos servicios, ni desinformar, sino la destrucción de datos. un limpiaparabrisas es un tipo especial de malware cuya única función es borrar el contenido del Disco duroborrando los datos y dañando el Sistema operativo. Por lo tanto, el dispositivo ya no podrá iniciarse sin una reinstalación completa. El malware se dirige principalmente a las instituciones financieras, así como a las empresas que trabajan para el gobierno. Sin embargo, no solo apunta a objetivos en Ucrania. Organizaciones en Letonia y Lituania también fueron víctimas del limpiaparabrisas.
Rotura. #ESETInvestigación descubrió un nuevo malware de limpieza de datos utilizado en Ucrania hoy. La telemetría de ESET muestra que se instaló en cientos de máquinas en el país. Esto sigue a los ataques DDoS contra varios sitios web ucranianos el día de hoy 1/n
— Investigación de ESET (@ESETresearch) 23 de febrero de 2022
Un ataque que se dirige a las redes informáticas de las organizaciones.
HermeticWiper se llamó así porque su archivo ejecutable está firmado por un certificado asignado a Hermetica Digital limitado. Los especialistas aún están analizando el programa, pero pudieron determinar que utiliza un controlador firmado por un certificado de la software EaseUS Dividir Maestro instalado como un servicio de Windows. los malware entonces corromperá los archivos en el disco duro y dañará la tabla de particiones y el Registro de arranque principal (MBR), el área de arranque del disco duro. El último paso es reiniciar la máquina que no podrá iniciar.
En al menos uno de los ataques, los piratas informáticos no se dirigieron a computadoras individuales. Utilizaron directamente el controlador de dominio para distribuir el malware. " En una de las organizaciones objetivo, el limpiador se instaló a través de la GPO (política de dominio) predeterminada, lo que significa que los atacantes probablemente habían tomado el control del servidor de Active Directory. ESET afirmó en una serie de tweets.
Actualizar en #limpiaparabrisas ataques contra #Ucrania. En algunos ataques, el ransomware también se implementó contra las organizaciones afectadas al mismo tiempo que el limpiador, probablemente como señuelo o distracción. https://t.co/FponqLk5Vu COI: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
— Inteligencia de amenazas (@threatintel) 24 de febrero de 2022
Una ofensiva preparada de antemano
Los autores del malware parecen haber estado planeando su ataque durante meses. La fecha de compilación de una de las muestras de malware es el 28 de diciembre de 2021. Sin embargo, HermeticWiper atacó a una organización en Lituania el martes 22 de febrero, y parece que el terreno se preparó con mucha anticipación. Los primeros rastros de infiltración en su red datan del 12 de noviembre de 2021, pero no se tomó ninguna medida durante varios meses hasta que se instaló el malware.
Otra peculiaridad de este ataque es que un ransomware (o Secuestro de datos) se desplegó en paralelo, presumiblemente para crear una distracción y ocultar mejor el limpiaparabrisas. Esta es la misma estrategia del atentado de enero, bautizado SusurroPuerta, que también intentó ocultar malware tipo limpiaparabrisas detrás del ransomware. Este nuevo limpiaparabrisas, sin embargo, fue diseñado para ser mucho más devastador.
¿Te interesa lo que acabas de leer?
Si quieres conocer otros artículos parecidos a Rusia usa malware nunca antes visto puedes visitar la categoría Otros.
Otras noticias que te pueden interesar