Se observó un nuevo malware de limpieza de datos desplegado contra una red del gobierno ucraniano sin nombre, un día después de que los ataques cibernéticos destructivos afectaran a múltiples entidades en el país antes del comienzo de la invasión militar de Rusia.
La firma eslovaca de ciberseguridad ESET denominó al nuevo malware “isaacwiper”, que dijo que se detectó el 24 de febrero en una organización que no se vio afectada por HermeticWiper (también conocido como FoxBlade), otro malware de limpieza de datos que apuntó a varias organizaciones el 23 de febrero como parte de una operación de sabotaje destinada a dejar las máquinas inoperables.
Un análisis más detallado de los ataques de HermeticWiper, que infectaron al menos a cinco organizaciones ucranianas, reveló un componente de gusano que propaga el malware a través de la red comprometida y un módulo de ransomware que actúa como una “distracción de los ataques de limpiaparabrisas”, lo que corrobora un informe anterior de Symantec. .
“Estos ataques destructivos aprovecharon al menos tres componentes: HermeticWiper para borrar los datos, HermeticWizard para propagarse en la red local y HermeticRansom actuando como un ransomware señuelo”, dijo la compañía.
En un análisis separado del nuevo ransomware basado en Golang, la empresa rusa de ciberseguridad Kaspersky, que denominó al malware “Elections GoRansom”, caracterizado como una operación de último minuto, y agregó que “probablemente se usó como una cortina de humo para el ataque HermeticWiper debido a su estilo no sofisticado y su mala implementación”.
Como medida antiforense, HermeticWiper también está diseñado para dificultar el análisis al borrarse del disco al sobrescribir su propio archivo con bytes aleatorios.
ESET dijo que no encontró “ninguna conexión tangible” para atribuir estos ataques a un actor de amenazas conocido, con los artefactos de malware implicando que las intrusiones se habían planeado durante varios meses, sin mencionar el hecho de que las entidades objetivo sufrieron compromisos con mucha anticipación. al despliegue del limpiaparabrisas.
“Esto se basa en varios hechos: las marcas de tiempo de compilación de HermeticWiper PE, la más antigua es el 28 de diciembre de 2021; la fecha de emisión del certificado de firma de código del 13 de abril de 2021; y la implementación de HermeticWiper a través de la política de dominio predeterminada en al menos una instancia , lo que sugiere que los atacantes tenían acceso previo a uno de los servidores de Active Directory de esa víctima”, dijo Jean-Ian Boutin, jefe de investigación de amenazas de ESET.
También se desconocen los vectores de acceso inicial utilizados para desplegar ambos limpiaparabrisas, aunque se sospecha que los atacantes aprovecharon herramientas como paquete de impacto y RemCom, un software de acceso remoto, para movimiento lateral y distribución de malware.
Además, IsaacWiper no comparte superposiciones de nivel de código con HermeticWiper y es sustancialmente menos sofisticado, incluso cuando se propone enumerar todas las unidades físicas y lógicas antes de proceder a realizar sus operaciones de borrado de archivos.
“El 25 de febrero de 2022, los atacantes lanzaron una nueva versión de IsaacWiper con registros de depuración”, dijeron los investigadores. “Esto puede indicar que los atacantes no pudieron borrar algunas de las máquinas objetivo y agregaron mensajes de registro para comprender lo que estaba sucediendo”.