• Acerca de OhMyGeek!
  • Contacto
OhMyGeek!
  • Tecnologías
    • Ciencia
    • Dispositivos
    • Hardware
    • Inteligencia Artificial
    • Internet
    • Robótica
    • Seguridad
    • Software
    • Verdes
  • Videos
  • Acerca de
    • Apple
    • Eventos
    • Google
    • Industria
    • Microsoft
    • Redes 5G
    • Samsung
    • Transportes
    • Tutoriales
  • Análisis
  • Entretenimiento
    • Cultura Pop
    • Música
    • No-Noticia
    • Películas
    • Series
    • Videojuegos
  • OhMyGeek!
    • Express en Canal 13C
    • Next por TXS Plus
    • Podcast
Sin resultados
Mira todos los resultados
OhMyGeek!
Sin resultados
Mira todos los resultados
OhMyGeek!
Sin resultados
Mira todos los resultados
Inicio Tecnologí­as Seguridad

¿Qué son «HermeticWiper» e «IsaacWiper»? Los virus que atacan a organizaciones ucranianas

Por OhMyGeek!
2 de marzo de 2022
A A

Desde los inicios de la invasión rusa a suelo ucraniano, empresas de seguridad informática han observado la batalla digital que se ha transado desde ataques DDoS, hasta la detección proactiva de amenazas de malware. Esta últimas con campañas maliciosas dirigidas específicamente a organizaciones ucranianas.

Una de esas compañías es ESET. Su equipo de investigación detectó un ataque dirigido computadoras en Ucrania que comenzó el 23 de febrero de 2022 alrededor de las 14:52 UTC. Esto ocurrió después de los ataques distribuidos de denegación de servicio (DDoS) contra algunos de los principales sitios web ucranianos y pocas horas después de la invasión militar rusa.

Publicidad

Estas campañas hacia computadoras ocuparon al menos tres componentes maliciosos. El primero es «HermeticWiper», un malware que hace que un sistema quede inoperativo al corromper sus datos. Por otra parte, está «HermeticWizard», el encargado de distribuir a «HermeticWiper» a través de una red local vía WMI y SMB. Y finalmente, «HermeticRansom», un ransomware detectado en cientos de sistemas y en al menos cinco organizaciones ucranianas.

Sobre HermeticRansom, este fue visto por primera vez por parte de los investigadores de Avast Threat Labs, quienes compartieron un tweet con su detección, justamente en relación a lo observado previamente con HermeticWiper. Este ransomware fue visto durante las primeras horas del 24 de febrero, teniendo una distribución mucho más pequeña que HermeticWiper, creyéndose que se hizo al mismo tiempo -probablemente- para ocultar las acciones del wiper.

On top of the #HermeticWiper (https://t.co/tTqE4HNgua) there is also a new golang-based ransomware roaming in #Ukraine waters. https://t.co/EOj8vPWHxL pic.twitter.com/6BE766NufE

— Avast Threat Labs (@AvastThreatLabs) February 24, 2022

El 24 de febrero de 2022 el equipo de ESET detectó otro nuevo malware del tipo wiper en una red gubernamental ucraniana. Lo llamaron IsaacWiper y actualmente están evaluando sus vínculos, si es que los hay, con HermeticWiper. Es importante señalar que IsaacWiper se detectó en una organización que no había sido afectada por HermeticWiper.

Publicidad

HermeticWiper y HermeticWizard fueron firmados mediante un certificado de firma de código asignado a Hermetica Digital Ltd emitido el 13 de abril de 2021. ESET solicitó a la autoridad certificadora (DigiCert) que revocara el certificado, lo cual hizo el 24 de febrero de 2022.

Lee también:  Web falsas se hicieron pasar por banco Itaú para robar datos a clientes

Según un informe del medio Reuters, este certificado podría no haber sido robado de Hermetica Digital, sino que probablemente los atacantes se hicieran pasar por la empresa chipriota para obtener este certificado de DigiCert.

Firma digital de HermeticWiper
Firma digital de HermeticWiper (captura de ESET).

Dentro de la investigación, aseguran que las organizaciones afectadas estaban infectadas mucho antes que se conocieran estos malware. ¿Cómo? Debido a varios hechos, incluyendo que las marcas de tiempo de compilación del PE de HermeticWiper la más antigua es del 28 de diciembre de 2021. Además, la fecha de emisión del certificado de firma de código es del 13 de abril de 2021 y la distribución de HermeticWiper a través de GPO en al menos una de las instancias sugiere que los atacantes tenían acceso previo a uno de los servidores de Active Directory de esa víctima.

Publicidad

Finalmente, IsaacWiper se encuentra oculto en un archivo DLL o EXE de Windows sin firma Authenticode. Este apareció el 24 de febrero de 2022. La marca de tiempo de compilación del PE más antigua que se encontró es del 19 de octubre de 2021, lo que significa que, si no se manipuló la marca de tiempo de compilación del PE, es posible que IsaacWiper haya sido utilizado meses atrás en anteriores operaciones.

Hasta ahora, ninguna compañía de seguridad, incluyendo a ESET, ha podido atribuir estos ataques a un actor de amenazas conocido. Sea un grupo de hackers o una nación en específico.

Temas relacionados: MalwareUcrania
Artículo previo

iPhone 12 y iPhone 13 ya pueden usar 5G en Chile con Entel y Movistar

Próximo artículo

Sony y Honda crearán nueva empresa de automóviles eléctricos

ESTO TE INTERESARÁ

Web falsas se hicieron pasar por banco Itaú para robar datos a clientes
Seguridad

Web falsas se hicieron pasar por banco Itaú para robar datos a clientes

Por OhMyGeek!
30 de enero de 2023

...

PayPal Hack
Seguridad

Especialistas analizan filtración de datos desde PayPal que afectó a casi 35.000 usuarios

Por OhMyGeek!
24 de enero de 2023

...

Cibercriminales roban dinero usando a la serie «The Last of Us» 

Cibercriminales roban dinero usando a la serie «The Last of Us» 

12 de enero de 2023
Ransomware

Cada día se registran 4 mil ataques ransomware en Latinoamérica

5 de diciembre de 2022
23.2 millones de cuentas filtradas utilizaban «123456» como contraseña

Estamos en el 2022 y aún «password» y «123456» son las contraseñas más usadas

27 de noviembre de 2022
Cuidado: es mentira que la FIFA regala 50GB de datos para ver el mundial

Cuidado: es mentira que la FIFA regala 50GB de datos para ver el mundial

24 de noviembre de 2022

OMG! VIDEOS

Reproduciendo

ÚLTIMAS NOTICIAS

Samsung presentó la nueva serie Galaxy S23 incluyendo al S23 Ultra

Samsung presentó la nueva serie Galaxy S23 incluyendo al S23 Ultra

1 de febrero de 2023
Galaxy S23: ¿qué debemos esperar para el lanzamiento según Samsung?

Streaming: mira el lanzamiento del Galaxy S23 desde San Francisco

1 de febrero de 2023
Web falsas se hicieron pasar por banco Itaú para robar datos a clientes

Web falsas se hicieron pasar por banco Itaú para robar datos a clientes

30 de enero de 2023
OhMyGeek!

OhMyGeek! es un Web blog de tecnología, innovación y Cultura Geek/Pop, con shows de Televisión, Radio y Podcast. OhMyGeek! es una marca registrada de Producciones Medialabs LTDA.

  • Acerca de OhMyGeek!
  • Contacto

(CC) 2022 OhMyGeek! Algunos derechos reservados.

Sin resultados
Mira todos los resultados
  • Tecnologías
    • Ciencia
    • Dispositivos
    • Hardware
    • Inteligencia Artificial
    • Internet
    • Robótica
    • Seguridad
    • Software
    • Verdes
  • Videos
  • Acerca de
    • Apple
    • Eventos
    • Google
    • Industria
    • Microsoft
    • Redes 5G
    • Samsung
    • Transportes
    • Tutoriales
  • Análisis
  • Entretenimiento
    • Cultura Pop
    • Música
    • No-Noticia
    • Películas
    • Series
    • Videojuegos
  • OhMyGeek!
    • Express en Canal 13C
    • Next por TXS Plus
    • Podcast

(CC) 2022 OhMyGeek! Algunos derechos reservados.

  • Compártelo
  • Tuitéalo
  • Wasapear
  • Messenger
  • LinkedIn
  • Telegram
  • Gmail