HermeticWiper ha sido el protagonista de una nueva ola de ciberataques contra varias organizaciones en Ucrania. Se trata de un malware de borrado de datos que ha impactado a cientos de computadoras en sus redes, según lo descubierto por ESET Research.
Los ciberasaltos se han registrado a pocas horas de una serie de Ataques de Denegación de Servicio Distribuido (DDoS) que ha dejado fuera de línea a varios sitios web importantes del país.
“Detectado por los productos de ESET como Win32/KillDisk.NCV, el borrador de datos se halló por primera vez justo antes de las 5:00 pm hora local (3:00 pm UTC) del miércoles”.
La marca de tiempo del borrador ha mostrado que se compiló el 28 de diciembre de 2021, lo que sugiere que el ataque puede haber estado en proceso durante algún tiempo.
HermeticWiper o Limpiaparabrisas hermético, por su traducción a inglés, ha hecho un uso indebido de los controladores legítimos de un popular software de administración de discos.
Según los investigadores de ESET, “el limpiador abusa de los controladores legítimos del software EaseUS Partition Master para corromper los datos”. Hasta ahora no se ha atribuido la responsabilidad de estos ciberataques a ningún grupo o nación específica.
Acceso a redes ucranianas
Los atacantes también han utilizado un certificado de firma de código genuino emitido a una empresa llamada Hermetica Digital Ltd., con sede en Chipre, de ahí el nombre del limpiaparabrisas.
Además, parece que, al menos en un caso, los actores maliciosos han tenido acceso a la red de la víctima antes de liberar el malware.
“El miércoles temprano, varios sitios web ucranianos quedaron fuera de línea en una nueva ola de ataques DDoS que han estado apuntando al país durante semanas”.
Desde ESET se ha recordado que otro borrador de datos se extendió por Ucrania a mediados de enero de 2022. Se trata de WhisperGate (Puerta del susurro), limpiador que se ha hecho pasar por un ransomware (malware de secuestro de datos).
WhisperGate ha traído algunos ecos del ataque NotPetya que golpeó a Ucrania en junio de 2017 antes de causar estragos en todo el mundo, de acuerdo a lo analizado por los investigadores de ESET.