Múltiples organizaciones en Ucrania fueron atacadas la semana pasada en una operación de malware destructiva, probablemente respaldada por un estado nacional, diseñada para hacer que los sistemas objetivo queden completamente inoperables.
El malware de dos etapas parece ransomware en la superficie. Pero no tiene un mecanismo de recuperación y, en cambio, está diseñado para sobrescribir el Master Boot Record (MBR) y el contenido de archivos específicos en sistemas infectados, dijo Microsoft el viernes.
Los ataques llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un asesor del 18 de enero que instó a las organizaciones estadounidenses a estar atentas a los ataques cibernéticos que podrían resultar en daños severos a funciones críticas.
Los investigadores de Microsoft observaron que el malware, llamado WhisperGate, apareció por primera vez el 13 de enero y desde entonces lo han identificado en docenas de sistemas que pertenecen al gobierno, a organizaciones de tecnología de la información y sin fines de lucro con sede en Ucrania. El número total de organizaciones que se han visto afectadas por el malware sigue sin estar claro. Pero es casi seguro que hay más víctimas de las que se han identificado hasta ahora, Microsoft dijo.
La actividad maliciosa que Microsoft observó es parte de una ola más amplia de ataques la semana pasada que derribó sitios web gubernamentales e interrumpió las operaciones en varias organizaciones en Ucrania. Ningún grupo se ha atribuido el mérito de los ataques y hasta ahora, al menos, pocos los han atribuido públicamente a algún actor de amenazas o patrocinador estatal.
Pero muchos creen que los ataques en Ucrania probablemente fueron llevados a cabo por operativos rusos y son una manifestación del tenso enfrentamiento actual entre los dos países. En diciembre de 2015, durante un período de tensión similar entre Rusia y Ucrania, los actores de amenazas del primero lanzaron una serie de ataques cibernéticos que destruyeron una sección de la red eléctrica de Ucrania y provocaron un apagón en algunas regiones del país.
Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows, dice que no es descabellado asociar los ataques con Rusia.
“Los ataques se ajustan a un modelo consistente empleado con frecuencia por los actores de amenazas alineados con Rusia, que previamente implementaron tácticas de guerra híbridas que involucran el uso de ataques cibernéticos antes de los movimientos de sus fuerzas militares terrestres”, dice Morgan. “Esto ha incluido ataques cibernéticos contra Georgia antes del conflicto por Osetia del Sur en 2008, durante la anexión de Crimea en 2014 y el malware destructivo utilizado en los ataques de Petya y MeDoc contra Ucrania en 2017”.
La destrucción como prioridad
Microsoft describió a WhisperGate como un malware único de dos etapas que aprovecha una herramienta disponible públicamente llamada Impacket que los actores de amenazas suelen usar para la ejecución remota y el movimiento lateral. El malware de primera etapa reside en varios directorios y sobrescribe el MBR (código que le dice a la computadora cómo cargar el sistema operativo) con una nota de rescate. La nota de rescate contiene una dirección de billetera Bitcoin previamente desconocida y un identificador de cuenta para comunicaciones encriptadas, aparentemente para que las víctimas las usen para realizar un pago. Sin embargo, el único propósito del malware es destruir el MBR y otros archivos a los que apunta en los dispositivos infectados, dijo Microsoft.
El componente de la etapa dos de WhisperGate es el descargador de malware alojado en un canal de Discord. El malware está diseñado para corromper archivos en ciertos directorios en un sistema comprometido con extensiones de archivo específicas como .backup, .bak, .jpeg, .java, .jar, .rtf, .sav y .xltm. Cuando el malware encuentra archivos con estas extensiones, y más de cien extensiones más, inmediatamente sobrescribe el archivo y luego cambia el nombre de cada uno con una extensión aleatoria de 4 bytes.
El objetivo del actor de amenazas al usar el malware parece ser hacer que tantos sistemas sean tan inoperables como sea posible y dificultar la restauración.
“Es probable que esto se haya llevado a cabo para introducir desafíos en las actividades cotidianas de los ciudadanos ucranianos, al mismo tiempo que para deslegitimar la autoridad del gobierno de Ucrania”, dice Morgan.
John Bambenek, principal cazador de amenazas de Netenrich, dice que la higiene de seguridad básica es fundamental para protegerse contra tales ataques.
“En última instancia, cualquier medida diseñada para prevenir el malware funcionará aquí”, dice Bambenek. “Ya sea que un atacante quiera implementar malware de ransomware, RAT o MBR, en esencia se trata de un problema de malware”. Más allá de eso, agrega, un plan de continuidad del negocio y recuperación ante desastres es fundamental para que exista un plan de restauración de servicios.
Fuente: https://www.darkreading.com/attacks-breaches/untitled
