El equipo de cazadores de amenazas de Symantec ha revelado una nueva forma de malware de limpieza de disco (Trojan.Killdisk) para atacar organizaciones en Ucrania, poco antes del lanzamiento de una invasión rusa el 24 de febrero de este año.
El Threat Hunter Team de Symantec, una compañía de Broadcom Software, también ha encontrado evidencia de ataques de limpiaparabrisas contra máquinas en Lituania. Se ha informado que los sectores objetivo han incluido organizaciones de servicios financieros, defensa, aviación y de TI (Tecnologías de la Información).
“Trojan.Killdisk viene en forma de un archivo ejecutable que está firmado por un certificado emitido a Hermetica Digital Ltd.”.
El malware contiene archivos de controlador de 32 bits y 64 bits, que están comprimidos por el algoritmo Lempel-Ziv, almacenados en su sección de recursos. Los archivos del controlador están firmados por un certificado emitido por EaseUS Partition Master.
Los investigadores sostienen que el malware suelta el archivo correspondiente, según la versión del sistema operativo (SO) del equipo infectado. “Los nombres de los archivos del controlador se generan utilizando el ID de proceso del limpiador”.
El limpiador dañará el Master Boot Record (MBR) de la computadora infectada una vez ejecutado, dejándolo inoperable. El limpiaparabrisas no parece tener ninguna funcionalidad adicional más allá de sus capacidades destructivas.
La cadena de ataques
Se cree que los ciberataques han podido ser preparados durante algún tiempo, tomando en cuenta que la evidencia temporal apunta a una actividad maliciosa potencialmente relacionada que comenzó en noviembre de 2021.
Sin embargo, el equipo de cazadores de amenazas de Symantec continúa revisando y verificando los hallazgos.
“En el caso de un ataque contra una organización en Ucrania, los atacantes parecen haber obtenido acceso a la red el 23 de diciembre de 2021 a través de una actividad SMB maliciosa contra un servidor de Microsoft Exchange”.
Esto ha sido seguido de forma inmediata por el robo de credenciales. También se ha instalado un shell web el 16 de enero, antes de que se implementara el limpiador el 23 de febrero.
Una organización en Lituania también se ha visto comprometida desde el 12 de noviembre de 2021 en adelante, de acuerdo a los hallazgos. Se presume que los atacantes pudieron aprovechar un exploit de Tomcat para ejecutar un comando de PowerShell.
“El PowerShell decodificado se usó para descargar un archivo JPEG de un servidor interno, en la red de la víctima”.
Un minuto después, los atacantes han creado una tarea programada para ejecutar un archivo sospechoso “postgresql.exe”, semanalmente los miércoles, específicamente a las 11:05 hora local. “Luego, los atacantes ejecutaron esta tarea programada para ejecutar la tarea”.
Los atacantes, nueve minutos después, han podido modificar la tarea programada para ejecutar el mismo archivo postgres.exe a las 9:30 hora local. A partir del 22 de febrero, los productos de Symantec han observado que el archivo postgresql.exe se ejecutaba y utilizaba para realizar otras tareas.
Ataques de seudoransomware
En varios ataques que Symantec ha investigado hasta la fecha también se ha implementado un ransomware contra las organizaciones afectadas al mismo tiempo que el limpiador.
“Al igual que con el limpiador, se utilizaron tareas programadas para implementar el ransomware. Los nombres de archivo utilizados por el ransomware incluyen client.exe, cdir.exe, cname.exe, connh.exe e intpub.exe”.
Se sospecha que el seudoransomware posiblemente se haya utilizado como señuelo o distracción de los ataques del limpiaparabrisas, lo que tiene algunas similitudes con los anteriores ataques con el limpiador de WhisperGate contra Ucrania, donde el limpiador ha estado disfrazado de ransomware.
Para los investigadores de seguridad, sigue existiendo una alta probabilidad de que se produzcan nuevos ataques cibernéticos contra Ucrania y otros países de la región, ahora que se está produciendo una invasión.
Es por esto que el equipo Threat Hunter de Symantec continúa monitoreando activamente la situación y publicará actualizaciones si existe nueva información disponible.