Hace unos días, publicábamos en nuestro blog una noticia en la que comunicábamos a nuestros lectores el compromiso de Microsoft para con la ayuda en la protección de Ucrania a nivel de ciberseguridad frente a ataques de malware como FoxBlade. Ahora, el FBI y la CISA publican un nuevo informe en el que advierten sobre los peligros de WhisperGate y HermeticWiper.
En el caso de WhisperGate, Microsoft comunicó que se trata de un malware diseñado para parecer un ransomware, pero cuya intención es realmente provocar daños irreparables. Se trata de uno de los llamados «wiper», es decir, un tipo de malware que busca borrar por completo el disco duro de la máquina afectada, deshaciéndose de toda la información y programas que hay en él. Lo que hace es sobrescribir por completo el MBR (es decir, el Registro de Arranque Principal) con una nota de rescate. Además, también intenta destruir la partición C:\, sobreescribiendo toda la información existente con datos aleatorios y sin sentido.
Por otro lado, sobre HermeticWiper ya hablamos el pasado 21 de febrero en nuestro blog, por lo que remitimos a nuestros lectores a la publicación «La tetera rusa explota: Ucrania y Rusia en guerra digital» para tener más detalles sobre el funcionamiento de este malware. A modo de resumen, decir tan solo que HermeticWiper se lanzó en conjunto con los señuelos de HermeticRansom para hacer que los dispositivos afectados no pudiesen ser iniciados.
El informe publicado por ambas organizaciones tiene como objetivo principal alertar a las compañías estadounidenses, ya que se considera que estos ataques de malware podrían llegar a afectar a empresas fuera de las fronteras ucranianas. En sus páginas se urge a las compañías a tomar medidas como la implementación del doble factor de autenticación (MFA, por sus siglas en inglés), aplicar soluciones antivirus y antimalware, así como filtros de spam.
Además de los dos malwares mencionados hasta ahora en este post, haremos mención a un tercer «wiper» adicional descubierto por investigadores de ESET: IsaacWiper.
Los investigadores aún no han atribuido este nuevo «wiper» a ningún grupo cibercriminal concreto y tampoco se sabe exactamente cuál ha sido el vector inicial del ataque, pero con respecto a esto último, se sospecha que los atacantes utilizaron herramientas como Impacket para llevar a cabo movimientos laterales. Este nuevo «wiper» ha sido detectado en DLLs de Windows o en archivos EXE sin presentar firma de autenticación, y su fecha de compilación más antigua se remonta a octubre de 2021.
Para concluir esta publicación, desde Hispasec recomendamos, no solo a las empresas sino también a los usuarios, tomar las medidas de protección recomendadas frente a potenciales ataques de malware y ransomware ya que, aunque en este caso hemos hablado de ataques dirigidos a nivel nacional, los incidentes causados a nivel particular por este tipo de ataques cibernéticos son cada vez más frecuentes y afectan cada vez a un mayor número de personas.
Más información:
Beware of WhisperGate and HermeticWiper – Warns the FBI and CISA
Researchers Peek into the Deadly WhisperGate Wiper
La tetera rusa explota: Ucrania y Rusia en guerra digital
Microsoft toma medidas frente a los ciberataques de Rusia
Deja una respuesta