HermeticWiper: ESET descubre un nuevo malware destructor de datos dirigido a Ucrania

El equipo de investigación de ESET ha descubierto en las últimas horas un nuevo malware que tiene la finalidad de destruir la información almacenada en un sistema infectado y que ha sido detectado en cientos de equipos en Ucrania. Este descubrimiento se produce pocas horas después de que el país sufriera importantes ataques de denegación de servicio contra varias páginas web nacionales.

Ataque preparado desde hace tiempo

Los investigadores de ESET descubrieron una primera muestra a las 14:52h UTC (15:52 hora española) de la tarde de ayer 23 de febrero. Sin embargo, al analizarla se descubrió que la fecha de compilación databa del 28 de diciembre de 2021, por lo que este ataque podría haber sido planificado durante dos meses.

El ciberataque sucede en un momento especialmente crítico para Ucrania, aunque aún no se pueden hacer atribuciones y concretar quién está detrás del mismo, puesto que no hay suficientes indicios que permitan señalar a un atacante en concreto. Tampoco debemos olvidar que los ciberataques de falsa bandera están a la orden del día y nunca podemos afirmar tajantemente la autoría de un ataque sin pruebas suficientes.

Un ataque de este tipo consiste en corromper todos los archivos de un sistema, por lo que este no puede arrancar y queda inutilizado. Es diferente a un ransomware, puesto que no existe la posibilidad de recuperar los archivos y su principal función es dejar inutilizados los sistemas atacados sin posibilidad de que puedan ser recuperados.

El objetivo de este malware sería parecido al que provocó el malware NotPetya en junio de 2017, que afectó a muchas empresas y organizaciones principalmente en Ucrania. De hecho, desde hace años el país está siendo objetivo de numerosos ciberataques que han afectado a sectores tan críticos como el energético, con varios ejemplos de ciberataques a plantas generadoras de energía, como BlackEnergy o Industroyer,  que llegaron a producir apagones en ciertas regiones del país.

Tampoco debemos olvidar otros ciberataques recientes a Ucrania como el descubierto por Microsoft el pasado mes de enero, y que fue bautizado como WhisperGate. En esa ocasión también se trataba de un malware dirigido a destruir información pero que se hacía pasar por un ransomware, tal y como sucedió con NotPetya.

Diseccionando la amenaza

Con la información preliminar que ha proporcionado el equipo de investigación de ESET, podemos ver que el binario del malware está firmado usando un certificado emitido a la empresa Hermetica Digital Ltd. Esto puede hacer que no sea detectado como una amenaza inicialmente al disponer de un certificado válido, pero sí que puede detectarse actividad maliciosa una vez se ejecuta en el sistema si se dispone de una solución de seguridad capaz de detectar comportamientos sospechosos, incluso por parte de herramientas legítimas.

El nombre de la empresa a la que fue asignada este certificado robado y usado por el malware ha sido utilizado para nombrar a la amenaza como HermeticWiper. Con respecto a su funcionamiento, los investigadores de ESET han comprobado que el malware se aprovecha de drivers legítimos pertenecientes al software también legítimo EaseUS Partition Master para corromper los ficheros del sistema, reiniciándolo una vez ha terminado esta operación.

Además, en una de las organizaciones afectadas, ESET detectó que el malware había sido introducido en los sistemas a través de una directiva de grupo por defecto, lo que significaría que los atacantes habrían tomado el control del servidor de Directorio Activo de Windows. Esto, junto con la fecha de compilación de las muestras detectadas, apoyaría la teoría de que se trata de un ataque que se viene preparando desde hace algunos meses.

Conclusión

Al tratarse de un incidente reciente y que aún podría estar en desarrollo, es posible que en las próximas horas o incluso días veamos su alcance total. En cualquier caso, desde los laboratorios de ESET se seguirá informando acerca de esta u otras posibles amenazas que estén relacionadas.

Josep Albors

ESET presenta en el MWC2022 su nueva solución ESET NetProtect