Importantes sitios gubernamentales y de infraestructura en Ucrania fueron atacados con devastadores ciberataques de limpieza de datos horas antes de la invasión rusa. Este tipo de ataque es como el ransomware, ya que inutiliza archivos importantes u ordenadores enteros. Sólo que no ofrece deshacer el daño a cambio de dinero. Lógicamente, parece que Rusia está detrás de estos ataques, pero hasta ahora no hay ninguna prueba contundente de ello. Los investigadores del gigante de la seguridad ESET escarbaron en el código del malware wiper y aprendieron mucho sobre cómo funciona y cuándo se desplegó, aunque todavía no pueden demostrar el origen del ataque.
Problemas en la puerta de al lado
Aunque todas las empresas de seguridad están pendientes de los ciberataques contra Ucrania, ESET tiene una razón especial para estar interesada. ESET tiene su sede en Bratislava, capital de la República Eslovaca, que limita con el oeste de Ucrania, no muy lejos de Lviv. Pregunté a un contacto de la empresa cómo les afecta, si es que les afecta, la guerra en Ucrania. “Bratislava, donde se encuentra la sede de ESET, está bastante lejos de la frontera con Ucrania”, explicó. “Hasta ahora, el único impacto del conflicto en Eslovaquia son los refugiados que llegan a la frontera y que reciben ayuda inmediata de las autoridades locales”. “Estamos colaborando con las organizaciones ucranianas afectadas por los recientes ciberataques y ayudándoles en todo lo que podemos”, continuó. “Además, ESET ha proporcionado apoyo financiero y humanitario.
Entrega especial de malware
Los expertos han apodado al dañino malware HermeticWiper porque estaba firmado digitalmente por una pequeña empresa de juegos llamada Hermetica Digital Ltd, con sede en el país insular mediterráneo de Chipre. Los primeros informes daban por hecho que el certificado digital había sido robado a esa empresa, pero al parecer eso no es cierto. La empresa informa de que nunca solicitó ningún certificado de este tipo, lo que significa que los autores deben haberlo solicitado fraudulentamente en su nombre. En cualquier caso, ESET pidió a DigiCert que revocara el certificado, y lo hizo el 24 de febrero.
Y lo que es más interesante, los investigadores descubrieron otra pieza de código malicioso firmada con el mismo certificado, un gusano al que denominaron HermeticWizard. Este programa gusano, una vez que se introduce en una red, propaga HermeticWiper por toda la red. A diferencia de un virus, un gusano no necesita ninguna interacción del usuario para propagarse.
Para hacer su trabajo, HermeticWizard debe escanear la red en busca de ordenadores disponibles y copiar su código en ellos. Se trata de un comportamiento sospechoso, que probablemente sea detectado por el software de seguridad. Sin embargo, los investigadores descubrieron que este malware busca ordenadores disponibles utilizando una selección aleatoria de puertos, para evadir la detección. Tras transmitir la infección, invoca a HermeticWiper, destruyendo así las pruebas.
Es posible que los intentos del malware por eludir la detección ni siquiera hayan sido necesarios. Un estudio reciente del laboratorio de pruebas austriaco AV-Comparatives desafió a casi 20 programas “antivirus” de consumo populares y a un número similar de soluciones de protección de puntos finales para empresas a defenderse contra HermeticWiper. Todos los productos probados se defendieron con éxito, lo que plantea que muchos ordenadores víctimas no tenían ninguna protección antivirus.
Aspirantes al ciberataque
Al analizar su amplia colección de malware capturado, los investigadores encontraron otro archivo firmado con el certificado digital de Hermetica. Éste resultó ser un ataque de ransomware real, por lo que lo apodaron HermeticRansom.
Tavares dijo el martes que el impacto en las plantas de la empresa -que incluyen centros en Francia, Italia, Alemania, España y el Reino Unido- era actualmente “muy limitado” porque se abastecía de menos piezas que sus rivales alemanes en Europa del Este.
Ucrania es un productor clave de arneses de cableado que sostienen los cables electrónicos dentro de un coche. Aunque otros centros de Europa del Este y el norte de África fabrican componentes similares, los expertos en la cadena de suministro afirman que las fábricas de automóviles tardarán en conseguir las piezas que necesitan, lo que puede significar el traslado de algunos equipos fuera de Ucrania.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Seguridad
Jessica Ávila
Me apasiona la música y todo lo relacionado con lo audiovisual desde muy joven, y crecí en esta carrera que me permite utilizar mis conocimientos sobre tecnología de consumo día a día. Puedes seguir mis artículos aquí en Elenbyte para obtener información sobre algunos de los últimos avances tecnológicos, así como los dispositivos más sofisticados y de primera categoría a medida que estén disponibles.