A medida que aumentan las tensiones geopolíticas, surgen informes de nuevos programas maliciosos dirigidos tanto a la infraestructura ucraniana, como las agencias gubernamentales. ESET Research tuiteo por primera vez el 23 de febrero sobre una nueva cepa llamada Hermetic Wiper.
“Última hora. #ESETResearch descubrió un nuevo malware de datos utilizado en Ucrania hoy. La telemetría de ESET muestra que se instaló en cientos de máquinas en el país. Esto sigue a los ataques DDoS contra varios sitios web ucranianos a principios del día hoy.”
Desde entonces, también se ha observado malware en los países vecinos de Letonia y Lituani, esto sigue a una serie de ataques cibernéticos de denegación de servicio distribuido (DDoS) y otras amenazas recientes en la región.
Las infecciones de Hermetic Wiper observadas hasta ahora parecen seguir una ruta familiar. Se detiene explotando un servidor externo y poniendo en peligro la identificación utilizada para moverse lateralmente, y como suele suceder, el acceso privilegiado parece desempeñar un papel importante en estos ataques.
Basándose en el análisis inicial, el equipo ha identificado algunas características específicas del malware:
- Los ataques han sido muy dirigidos: específicamente la distribución del limpiaparabrisas no parece estar aprovechando las vulnerabilidades de la cadena de suministro u otras técnicas de “superdifusor” para escalar los ataques. Esto significa que la infección no se extenderá rápidamente a otras geografías, sin embargo, el malware o las variantes de este, pueden propagarse eventualmente a otros objetivos en otros países.
- La implementación requiere privilegios de administrador privilegiado: el limpiador debe usar privilegios altos en el host comprometido para sobrescribir el registro de inicio y la configuración, eliminar la configuración del dispositivo y la copia de seguridad.
- Active Directory se puede utilizar como plataforma de lanzamiento: en un caso reportado, el software de limpieza se implementó mediante la política de grupo de Active Directory. Es decir, el atacante tenía acceso privilegiado a éste, como sucedió en el ataque a la cadena de suministro de ransomware Kaseya en 2021.
- El compromiso de identidad es importante: el limpiador parece estar configurado para no cifrar el controlador de dominio, esto permite que el dominio continúe ejecutándose y permite que el software de limpieza se autentique y cifre en el servidor con credenciales válidas.
Hermetic Wiper requiere violación de identidad y abuso de credenciales privilegiadas, por lo que los esfuerzos de mitigación deben centrarse en el control de acceso privilegiado de punto final, como la eliminación de los derechos de administrador local y protección contra el robo de credenciales. Las credenciales con privilegios elevados deben protegerse para evitar el movimiento lateral y las infecciones de la red.
¿Quieres hablar de ciberseguridad? Contáctanos.
