ESET descubre IsaacWiper va por los datos de organizaciones de Ucrania

ESET descubre IsaacWiper, un nuevo malware que destruye datos y que ataca a organizaciones ucranianas 

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió IsaacWiper, un nuevo malware que destruye datos y que ataca a organizaciones ucranianas, y HermeticWizard, un componente con capacidad de gusano utilizado para distribuir HermeticWiper en redes locales.

Cuando comenzaron los ataques entre Rusia y Ucrania, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió varias familias de malware dirigidas a organizaciones ucranianas.

  • El 23 de febrero de 2022, una campaña con fines destructivos utilizó HermeticWiper y apunto contra varias organizaciones ucranianas.
  • Este ciberataque fue unas horas después del inicio de la invasión a Ucrania por parte de las fuerzas de la Federación Rusa
  • Los vectores de acceso inicial utilizados fueron diferentes de una organización a otra. ESET confirma un caso en el que el wiper fue droppeado mediante GPO y que ocultaba un worm utilizado para propagar el wiper en otra red comprometida.
  • Elementos en el malware sugieren que los ataques habían sido planeados durante varios meses.
  • El 24 de febrero de 2022, comenzó un segundo ataque con intenciones destructivas contra una red gubernamental ucraniana, utilizando un wiper al que hemos llamado IsaacWiper.
  • ESET Research aún no ha podido atribuir estos ataques a un actor de amenazas conocido.

El equipo de investigación de ESET descubrió un ataque con intenciones destructivas dirigido a computadoras en Ucrania que comenzó el 23 de febrero de 2022 alrededor de las 14:52 UTC. Esto ocurrió después de los ataques distribuidos de denegación de servicio (DDoS) contra algunos de los principales sitios web ucranianos y pocas horas después de la invasión militar rusa.

Estos ataques con objetivos destructivos utilizaron al menos tres componentes:

  • HermeticWiper: hace que un sistema quede inoperativo al corromper sus datos
  • HermeticWizard: distribuye HermeticWiper a través de una red local vía WMI y SMB
  • HermeticRansom: ransomware escrito en Go

HermeticWiper fue detectado en cientos de sistemas y en al menos cinco organizaciones ucranianas.

IsaacWiper se encuentra en un archivo DLL o EXE de Windows sin firma Authenticode; apareció en la telemetría de ESET el 24 de febrero de 2022. La marca de tiempo de compilación del PE más antigua que se encontró es del 19 de octubre de 2021, lo que significa que, si no se manipuló la marca de tiempo de compilación del PE, es posible que IsaacWiper haya sido utilizado meses atrás en anteriores operaciones.

“No tiene similitud de código con HermeticWiper y es mucho menos sofisticado. Dada la cronología de los acontecimientos, es posible que ambos estén relacionados, pero aún no hemos encontrado ninguna conexión sólida que nos permita afirmarlo.”, mencionan desde ESET.

Acerca del autor

Notas de Prensa

Equipo de trabajo y contenidos del weblog de tecnología móvil e Internet desde Caracas - Venezuela

Ver todos los artículos