Como parte de la ola de ciberataques hacia Ucrania en medio del conflicto con Rusia, se han identificado ataques de HermeticWiper y WhisperGate, ambos diseñados para eliminar datos, atacar los sistemas informáticos y dejarlos inoperables.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/QVPWML4FLRFWBMYCPUNAEZS7RI.jpg)
El nombre HermeticWiper hace referencia al certificado digital que utiliza para evitar ser detectado cuando se infiltra. El malware afirma estar certificado por «Hermetica Digital Ltd». Sin embargo, no se ha encontrado ningún caso en el que este certificado se haya utilizado para contenido legítimo. Esto podría ser un indicativo de que los ciberdelincuentes crearon una entidad legal que no existía o usaron credenciales de una entidad legal que ya no existía.
El malware se propaga a través de tácticas de phishing e ingeniería social. Los métodos más populares incluyen: spam, descargas ocultas (encubiertas y engañosas), sitios de descarga de software gratuito y de terceros, redes de intercambio entre pares, estafas en línea, herramientas de activación de software ilegal («cracks») y actualizaciones falsas.
Las formas comunes en las que impacta este malware incluyen: eliminación de datos, divulgación de archivos/información, instalación de malware adicional, espionaje (por ejemplo, registro de teclas, audio/video a través de micrófono y cámara, etc.), cifrado de datos y/o bloqueo de pantalla (ransomware), abuso de los recursos del sistema para generar criptomonedas (criptomeros), habilitar acceso/control remoto, lanzar ataques DDoS, etc.
Así también se tiene a WhisperGate, que es un malware que se presenta como un falso ransomware, ya que, según las investigaciones de Microsoft, pese a pagar por el rescate de la información, esta es eliminada.
Este malware puede alojarse en varios directorios de una PC y posiblemente con el nombre de stage1.exe . En la primera etapa Stage1.exe sobrescribe el registro de arranque maestro (MBR), responsable de dirigir la carga del sistema operativo en una PC, con una nota de rescate y sin ningún mecanismo de recuperación. Seguidamente el malware se ejecuta cuando el dispositivo se apaga.
En la etapa dos, Stage2.exe descarga el malware de próxima etapa que ubica los archivos objetivo, sobrescribe el contenido de los mismos y cambia el nombre de cada archivo con una extensión aleatoria de cuatro bytes.
Finalmente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) han proporcionado información de los indicadores de compromiso (IOC) de código abierto, para poder detectar y prevenir los malware:
Tabla 1: IOCs asociados a WhisperGate
| Nombre | File Category | File Hash | Fuente |
|---|---|---|---|
| WhisperGate | stage1.exe | a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 | Microsoft MSTIC |
| WhisperGate | stage2.exe | dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 | Microsoft MSTIC |
Tabla 2: IOCs asociados a HermeticWiper
| Nombre | File Category | File Hash | Fuente |
|---|---|---|---|
| Win32/KillDisk.NCV | Trojan | 912342F1C840A42F6B74132F8A7C4FFE7D40FB77 61B25D11392172E587D8DA3045812A66C3385451 | ESET research |
| HermeticWiper | Win32 EXE | 912342f1c840a42f6b74132f8a7c4ffe7d40fb77 | SentinelLabs |
| HermeticWiper | Win32 EXE | 61b25d11392172e587d8da3045812a66c3385451 | SentinelLabs |
| RCDATA_DRV_X64 | ms-compressed | a952e288a1ead66490b3275a807f52e5 | SentinelLabs |
| RCDATA_DRV_X86 | ms-compressed | 231b3385ac17e41c5bb1b1fcb59599c4 | SentinelLabs |
| RCDATA_DRV_XP_X64 | ms-compressed | 095a1678021b034903c85dd5acb447ad | SentinelLabs |
| RCDATA_DRV_XP_X86 | ms-compressed | eb845b7a16ed82bd248e395d9852f467 | SentinelLabs |
| Trojan.Killdisk | Trojan.Killdisk | 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591 | Symantec Threat Hunter Team |
| Trojan.Killdisk | Trojan.Killdisk | 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da | Symantec Threat Hunter Team |
| Trojan.Killdisk | Trojan.Killdisk | a64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e | Symantec Threat Hunter Team |
| Ransomware | Trojan.Killdisk | 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382 | Symantec Threat Hunter Team |
¿Como evitar ?
• No abrir enlaces o archivos adjuntos existentes en correos de origen sospechoso.
• Descargar archivos de fuentes oficiales y verificadas.
• Mantener actualizados los programas con herramientas que proporcionen los desarrolladores legítimos.
• Mantener el antivirus instalado y actualizado.
• Si cree que su computadora ha resultado afectada, se recomienda ejecutar un escaneo para eliminar el malware infiltrado. Además se puede aislar el dispositivo afectado.
Referencias:
• https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
• https://www.pcrisk.es/guias-de-desinfeccion/11252-hermeticwiper-malware
• https://www.pcrisk.es/guias-de-desinfeccion/11152-whispergate-ransomware