Denominado HermeticWiper, como paso final reinicia la computadora
Las firmas de ciberseguridad ESET y Symantec de Broadcom dijeron que descubrieron un nuevo malware de limpieza de datos utilizado en nuevos ataques contra cientos de máquinas en Ucrania, cuando las fuerzas rusas lanzaron formalmente una operación militar a gran escala contra el país.
La compañía eslovaca denominó al limpiaparabrisas "HermeticWiper" (también conocido como KillDisk.NCV), con una de las muestras de malware compilada el 28 de diciembre de 2021, lo que implica que los preparativos para los ataques pueden haber estado en marcha durante casi dos meses.
"El binario del limpiaparabrisas se firma con un certificado de firma de código emitido por Hermetica Digital Ltd", dijo ESET en una serie de tuits. "El limpiador abusa de los controladores legítimos del software EaseUS Partition Master para corromper los datos. Como paso final, el limpiador reinicia la computadora".
Al menos una de las intrusiones implicó la implementación del malware directamente desde el controlador de dominio de Windows, lo que indica que los atacantes habían tomado el control de la red de destino.
La escala y el impacto de los ataques de borrado de datos aún se desconocen, al igual que la identidad del actor de amenazas detrás de las infecciones. Pero el desarrollo marca la segunda vez este año que se implementa un malware destructivo en los sistemas informáticos ucranianos después de la operación WhisperGate a mediados de enero.
Los ataques del limpiaparabrisas también siguen a una "masiva" tercera ola de ataques distribuidos de denegación de servicio (DDoS) que afectaron el miércoles a varias instituciones bancarias y gubernamentales de Ucrania, dejando fuera de servicio los portales en línea del Ministerio de Relaciones Exteriores, el Gabinete de Ministros y Rada o el parlamento del país.
La semana pasada, dos de los bancos más grandes de Ucrania, PrivatBank y Oschadbank, así como los sitios web del Ministerio de Defensa y las Fuerzas Armadas de Ucrania sufrieron interrupciones como resultado de un ataque DDoS de actores desconocidos, lo que llevó a los gobiernos del Reino Unido y EE. UU. a señalar con el dedo a la Dirección Principal de Inteligencia (GRU) de Rusia, una acusación que el Kremlin ha negado.
Las campañas que usan ataques DDoS entregan torrentes de tráfico basura que pretenden abrumar a los objetivos con el objetivo de hacerlos inaccesibles. Un análisis posterior de los incidentes del 15 de febrero por parte del CERT-UA encontró que se llevaron a cabo utilizando botnets como Mirai y Mēris aprovechando enrutadores MikroTik comprometidos y otros dispositivos IoT.
Es más, se dice que los sistemas de información pertenecientes a las instituciones estatales de Ucrania fueron atacados sin éxito en hasta 121 ataques cibernéticos solo en enero de 2022.
Eso no es todo. Los ciberdelincuentes en la web oscura buscan capitalizar las tensiones políticas en curso publicitando bases de datos y accesos a redes que contienen información sobre ciudadanos ucranianos y entidades de infraestructura crítica en RaidForums y los mercados de Free Civilian con "la esperanza de obtener grandes ganancias", según un informe publicado por Accenture a principios de esta semana.
La avalancha continua de actos cibernéticos maliciosos perturbadores desde principios de año también ha llevado a las autoridades policiales de Ucrania a pintar los ataques como un esfuerzo por propagar la ansiedad, socavar la confianza en la capacidad del Estado para defender a sus ciudadanos y desestabilizar su unidad.
"Ucrania enfrenta intentos de sembrar el pánico sistemáticamente, difundir información falsa y distorsionar el estado real de las cosas", dijo el 14 de febrero el Servicio de Seguridad de Ucrania (SSU). "Todo esto combinado no es más que otra ola masiva de guerra híbrida".
