in

¿Quién está realmente detrás de los ataques cibernéticos que golpean a Ucrania?

03OsgQHfTfRBksChXgPZT24 1.fit lim.size 1200x630.v1646243201

Importantes sitios gubernamentales y de infraestructura en Ucrania fueron atacados con devastadores ciberataques de limpieza de datos horas antes de la invasión de Rusia. Este tipo de ataque es como el ransomware en el sentido de que inutiliza archivos importantes o computadoras enteras. Simplemente no ofrece reparar el daño por dinero. Lógicamente parecería que Rusia está detrás de estos ataques, pero hasta el momento no hay pruebas contundentes de ello. Los investigadores del gigante de la seguridad ESET profundizaron en el código del malware de limpieza y aprendieron mucho sobre cómo funciona y cuándo se implementó, aunque todavía no pueden probar la fuente del ataque.

Problemas al lado

Si bien todas las empresas de seguridad vigilan los ataques cibernéticos contra Ucrania, ESET tiene una razón especial para estar interesada. ESET tiene su sede en Bratislava, capital de la República Eslovaca, que limita con el lado oeste de Ucrania, no lejos de Lviv. Le pregunté a un contacto de la empresa cómo les afecta la guerra en Ucrania, si es que les afecta. «Bratislava, donde se encuentra la sede central de ESET, está bastante lejos de la frontera con Ucrania», explicó. «Hasta ahora, el único impacto del conflicto en Eslovaquia son los refugiados que llegan a la frontera y reciben ayuda inmediata de las autoridades locales».

«Estamos colaborando con las organizaciones ucranianas afectadas por los recientes ciberataques y ayudándolas en todo lo que podemos», continuó. «Además, ESET ha proporcionado apoyo financiero y humanitario

Entrega especial de malware

Los expertos han apodado al dañino malware HermeticWiper porque fue firmado digitalmente por una pequeña empresa de juegos llamada Hermetica Digital Ltd, con sede en el país insular mediterráneo de Chipre. Los primeros informes asumieron que el certificado digital fue robado de esa empresa, pero aparentemente eso no es cierto. La empresa informa que nunca solicitó dicho certificado, lo que significa que los perpetradores deben haberlo solicitado de manera fraudulenta en su nombre. En cualquier caso, ESET solicitó a DigiCert que revocara el certificado, y así lo hizo el 24 de febrero.

Quizás lo más interesante es que los investigadores descubrieron otro código malicioso firmado con el mismo certificado, un gusano al que llamaron HermeticWizard. Este programa gusano, una vez que se abre camino en una red, propaga HermeticWiper por toda la red. A diferencia de un virus, un gusano no necesita la interacción del usuario para propagarse.

Para hacer su trabajo, HermeticWizard debe escanear la red en busca de computadoras disponibles y copiarles su código. Ese es un comportamiento sospechoso, que probablemente sea detectado por el software de seguridad. Sin embargo, los investigadores encontraron que este malware busca computadoras disponibles utilizando una selección aleatoria de puertos para evadir la detección. Después de pasar la infección, invoca HermeticWiper, destruyendo así la evidencia.

Es posible que los intentos del malware para evadir la detección ni siquiera hayan sido necesarios. Un estudio reciente realizado por el laboratorio de pruebas austriaco AV-Comparatives desafió a casi 20 programas antivirus de consumo populares y una cantidad similar de soluciones de protección de puntos finales empresariales para defenderse contra HermeticWiper. Todos los productos probados montaron una defensa exitosa, lo que sugiere que muchas computadoras de las víctimas no tenían ninguna protección antivirus.

Aspirantes a ciberataques

Al escanear su vasta colección de malware capturado, los investigadores encontraron otro archivo firmado con el certificado digital de Hermetica. Este resultó ser un ataque de ransomware real, por lo que lo llamaron HermeticRansom.

Dentro del código, encontraron nombres de archivo que contenían la cadena de texto «WHiteHousE», así como el nombre de la carpeta 403forBiden. El error HTTP número 403 se titula Prohibido, lo que significa que «el servidor entiende la solicitud pero se niega a autorizarla».

Al completar su tarea de encriptar documentos importantes, el malware muestra una nota de rescate que comienza: “Lo único que aprendemos de las nuevas elecciones es que no aprendimos nada de las anteriores. ¡Gracias por tu voto!» y termina, «¡Que tengas un buen día!» El equipo de ESET descubrió que HermeticRansom era mucho menos frecuente que HermeticWiper. Sospechan que puede haber sido diseñado simplemente para ocultar las acciones del limpiaparabrisas.

Luego está IsaacWiper, el primo pobre. Los investigadores de ESET lo detectaron en Ucrania justo después de que se revocara el certificado de Hermetica. IsaacWiper no tiene ninguna firma digital. Según ESET, «no tiene similitud de código con HermeticWiper y es mucho menos sofisticado». ¿Los atacantes lanzaron IssacWiper como carne de cañón una vez que perdieron la validación de la firma digital para los otros ataques?

Recomendado por Nuestros Editores

¿Quién es responsable?

Cuando un país enemigo dispara un cañón a través de la frontera o lanza un misil balístico intercontinental, no hay duda de quién está detrás del ataque. Atribuir los ciberataques a una fuente específica es mucho más difícil. Los investigadores buscan pistas, como cadenas de texto incrustadas en el código, conexiones a servidores de comando y control conocidos, o similitudes sólidas de código con otro malware que se ha vinculado a una fuente. En este caso, sin embargo, no hay tales pistas.

Como dice la publicación de ESET, “En este punto, no hemos encontrado ninguna conexión tangible con un actor de amenazas conocido. HermeticWiper, HermeticWizard y HermeticRansom no comparten ninguna similitud de código significativa con otras muestras de la colección de malware de ESET. IsaacWiper aún no ha sido atribuido”.

Sin ninguna atribución firme, el equipo de ESET no puede concluir definitivamente que los ataques provinieron de Rusia. Cuando se le pidió que confirmara, un representante de la compañía estuvo dispuesto a decir: «Nuestra conclusión es que los ataques cibernéticos, que utilizan HermeticWiper e IsaacWiper, parecen haber sido planeados y dirigidos para causar interrupciones en las organizaciones afectadas en Ucrania». Por otro lado, en cuanto a la identificación de cualquier actor de amenazas otro que el ruso, el representante afirmó: «El equipo de investigación de ESET aún no ha podido atribuir estos ataques a un actor de amenazas conocido».

Sí, hay referencias al presidente Biden y la Casa Blanca en el código, pero también podrían apuntar a un atacante que niega la legitimidad de nuestras últimas elecciones. No hay una prueba irrefutable que vincule el malware con Rusia, pero la evidencia circunstancial es innegablemente sólida.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }