Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon IsaacWiper y HermeticWizard: un nuevo wiper y worm utilizados en ciberataques a Ucrania


 Investigadores de ESET descubren IsaacWiper, un nuevo malware que destruye datos y que ataca a organizaciones ucranianas, y HermeticWizard, un componente con capacidad de gusano utilizado para distribuir HermeticWiper en redes locales.


  • El 23 de febrero de 2022, una campaña con fines destructivos utilizó HermeticWiper y apuntó contra varias organizaciones ucranianas.
  • Este ciberataque fue unas horas después del inicio de la invasión a Ucrania por parte de las fuerzas de la Federación Rusa
  • Los vectores de acceso inicial utilizados fueron diferentes de una organización a otra. Confirmamos un caso en el que el wiper fue droppeado mediante GPO y que ocultaba un worm utilizado para propagar el wiper en otra red comprometida.
  • Elementos en el malware sugieren que los ataques habían sido planeados durante varios meses.
  • El 24 de febrero de 2022, comenzó un segundo ataque con intenciones destructivas contra una red gubernamental ucraniana, utilizando un wiper al que hemos llamado IsaacWiper.
  • ESET Research aún no ha podido atribuir estos ataques a un actor de amenazas conocido.

Ciberataques destructivos en Ucrania

Como reveló el equipo de ESET Research en este tweet y también en este artículo publicado en WeLiveSecurity, descubrimos un ataque con intenciones destructivas dirigido a computadoras en Ucrania que comenzó el 23 de febrero de 2022 alrededor de las 14:52 UTC. Esto ocurrió después de los ataques distribuidos de denegación de servicio (DDoS) contra algunos de los principales sitios web ucranianos y pocas horas después de la invasión militar rusa.

Estos ataques con objetivos destructivos utilizaron al menos tres componentes:

  • HermeticWiper: hace que un sistema quede inoperativo al corromper sus datos
  • HermeticWizard: distribuye HermeticWiper a través de una red local vía WMI y SMB
  • HermeticRansom: ransomware escrito en Go

HermeticWiper fue detectado en cientos de sistemas y en al menos cinco organizaciones ucranianas.

El 24 de febrero de 2022 detectamos otro nuevo malware del tipo wiper en una red gubernamental ucraniana. Lo llamamos IsaacWiper y actualmente estamos evaluando sus vínculos, si es que los hay, con HermeticWiper. Es importante señalar que IsaacWiper se detectó en una organización que no había sido afectada por HermeticWiper.

Atribución

Hasta el momento no hemos identificado ninguna conexión tangible con un actor de amenazas conocido. HermeticWiper, HermeticWizard y HermeticRansom no comparten ninguna similitud de código significativa con otras muestras que componen la colección de malware de ESET. Por su parte, IsaacWiper tampoco ha sido atribuido.


Acceso inicial

HermeticWiper

HermeticWiper es un ejecutable de Windows con cuatro controladores embebidos en sus recursos. Son controladores legítimos del software EaseUS Partition Master firmado por CHENGDU YIWO Tech Development Co. e implementan operaciones de bajo nivel en el disco. 

Actualmente se desconoce el vector de acceso inicial, pero hemos observado artefactos para realizar el movimiento lateral una vez dentro de las organizaciones atacadas. En una entidad, por ejemplo, el wiper se desplegó a través de la política de dominio predeterminada (GPO, por sus siglas en inglés), como se muestra en su ruta en el sistema:

C:\Windows\system32\GroupPolicy\DataStore\0\sysvol\<redacted>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\cc.exe

Esto indica que probablemente los atacantes tomaron el control del servidor de Active Directory.

En otros casos, es posible que HermeticWiper haya sido desplegado utilizando Impacket. Una publicación en el blog de Symantec apunta que el wiper se desplegó utilizando la siguiente línea de comando:

cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE\temp\sys.tmp1 CSIDL_WINDOWS\policydefinitions\postgresql.exe 1> \\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1

La última parte es la misma que el comportamiento predeterminado en wmiexec.py de Impacket. Ver en GitHub.

Finalmente, se utilizó un worm personalizado, al que hemos denominado HermeticWizard, para propagar HermeticWiper a lo largo de las redes comprometidas a través de SMB y WMI.

Las siguientes ubicaciones son sobrescritas con bytes aleatorios generados por la función de la API de Windows CryptGenRandom:

  • El master boot record (MBR)
  • La tabla maestra de archivos (MFT)
  • $Bitmap y $LogFile en todas las unidades
  • Los archivos que contienen las claves de registro (NTUSER*)
  • C:\Windows\System32\winevt\Logs

Adicionalmente, también borra recursivamente carpetas y archivos en Windows, Program Files, Program Files(x86), PerfLogs, Boot, System Volume Information y carpetas AppData usando una operación FSCTL_MOVE_FILE. Esta técnica parece ser bastante inusual y muy similar a lo que se implementa en el proyecto Windows Wipe en GitHub (ver la función wipe_extent_by_defrag). También borra links simbólicos y archivos grandes en las carpetas My Documents y Desktop sobrescribiéndolos con bytes aleatorios.

IsaacWiper

El vector de acceso inicial también se desconoce actualmente. Es probable que los atacantes hayan utilizado herramientas como Impacket para moverse lateralmente. En algunas máquinas también hemos observado una herramienta de acceso remoto llamada RemCom, la cual se distribuyó al mismo tiempo que IsaacWiper.


Fuentes:

https://www.welivesecurity.com/la-es/2022/03/02/isaacwiper-hermeticwizard-nuevo-wiper-y-worm-utilizados-ciberataques-ucrania/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.