El inicio formal de la operación militar de Rusia en Ucrania inició el miércoles pasado por la noche, aunque otro tipo de guerra se libraba desde mucho antes en la red de internet, según informes de empresas de ciberseguridad.
Un ataque estuvo dirigido principalmente a bancos y ministerios ucranianos con un nuevo malware denominado HermeticWiper, dio a conocer Jean-Ian Boutin, jefe de investigación de amenazas en ESET.
El llamado malware tipo wiper o limpiaparabrisas, tiene el propósito de destruir los datos de las víctimas, y aparentemente, demostró en Ucrania ser eficaz en hacerlo.
BANCOS Y MINISTERIOS DEL GOBIERNO AFECTADOS
El vice primer ministro Mykailo Fyodorov dijo que Ucrania sufrió un ciberataque masivo que afectó a las principales páginas web del Gobierno.
Fyodorov dijo que el ataque comenzó a última hora de la tarde del miércoles y afectó a varios bancos, así como a sitios web oficiales, sin especificar su origen.
ESET aseguró que el malware HermeticWiper solo fue en observado en Ucrania.
Sin embargo, Symantec Threat Intelligence de Broadcom detectó ataques de borrado de datos en Letonia y Lituania, así como en Ucrania., con contratistas financieros y gubernamentales como objetivos.
El malware del limpiaparabrisas no es el único incidente de ciberseguridad contra Ucrania. Ataques DDoS (Denegación de servicio distribuida) derribaron los sitios web de varios bancos y agencias gubernamentales. Una agresión DDoS similar se inició la semana pasada contra bancos en el país, algo de lo que funcionarios estadounidenses culparon al gobierno ruso.
En enero pasado, el Centro de Inteligencia sobre Amenazas de Microsoft (MSTIC) detectó evidencia de una operación de malware destructiva dirigida a múltiples organizaciones en Ucrania.
La compañía de tecnología dijo que estaba “al tanto de los eventos geopolíticos en curso en Ucrania y la región circundante”, por lo que alentó a las organizaciones a usar la información para protegerse de manera proactiva de cualquier actividad maliciosa.
LA TECNOLOGÍA QUE SE USÓ
Detectado por los productos de ESET como Win32/KillDisk.NCV, el wiper de datos fue identificado por primera vez justo antes de las 5:00 p.m. hora local del miércoles. Mientras tanto, las marcas de tiempo en HermeticWiper muestran que fue compilado el 28 de diciembre de 2021, lo que sugiere que el ataque puede haber estado en proceso durante algún tiempo.
HermeticWiper hizo uso de forma maliciosa de controladores legítimos del popular software de administración de discos para causar estragos en los sistemas de las víctimas. “El wiper abusa de los controladores legítimos del software EaseUS Partition Master para corromper los datos”, según los investigadores de ESET.
También parece que, al menos en un caso, los atacantes tuvieron acceso a la red de la víctima antes de liberar el malware. Los atacantes utilizaron un certificado de firma de código genuino emitido por una empresa con sede en Chipre llamada Hermetica Digital Ltd., de ahí el nombre de este malware que borra datos.
A mediados de enero, otro wiper de datos se extendió por Ucrania apuntando a organizaciones de este país. Llamado WhisperGate, el malware se hizo pasar por un ransomware y trajo algunos ecos del ataque NotPetya que impactó a Ucrania en junio de 2017 antes de causar estragos en todo el mundo.