Dos empresas de ciberseguridad con fuerte presencia comercial en Ucrania, ESET y Symantec, han informado el día de ayer que las redes informáticas del país han sufrido un nuevo ataque de borrado de datos. El ataque se produce mientras las tropas militares rusas han cruzado la frontera e invadido el territorio de Ucrania en lo que el presidente ruso Putin ha descrito como una misión de «mantenimiento de la paz«.
Hasta el momento de esta publicación, se sigue recopilando detalles sobre el ataque, que sigue en marcha. Todavía se desconoce su magnitud y el número de sistemas afectados. Pero se estima que la data borrada puede ser significativa.
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
— ESET research (@ESETresearch) February 23, 2022
New #wiper malware being used in attacks on #Ukraine
— Threat Intelligence (@threatintel) February 23, 2022
1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
El segundo ataque fue registrado tras detectarse que algunos servicios informáticos de Ucrania han sido «limpiados», tras un primer ataque que tuvo lugar a mediados de enero.
El despliegue de ese primer malware, llamado WhisperGate, se ocultó bajo la apariencia de un falso brote de ransomware y durante una serie de desactivaciones coordinadas de sitios web del gobierno ucraniano. Del mismo modo, los ataques de borrado de datos también fueron acompañados por una serie de ataques de denegación de servicio distribuidos (DDoS) contra sitios web del gobierno, en un intento similar de distraer a los trabajadores de TI del gobierno y la atención del público.
Hasta este momento, los funcionarios del gobierno ucraniano no han confirmado ni publicado ningún detalle sobre el ataque en curso. Sin embargo, según un análisis técnico del malware, que ESET dijo que estaba rastreando como KillDisk.NCV, el limpiador se despliega a veces a través de las políticas de grupo de Windows, lo que sugiere que los atacantes pueden tener el control total de algunas de las redes internas de su objetivo.
Una vez desplegado, el limpiador ejecuta una versión del software EaseUS Partition Master, una utilidad de partición de disco, que utiliza para corromper los datos locales y luego reiniciar el ordenador.
Según Silas Cutler, investigador de seguridad de Stairwell, KillDisk.NCV no sólo destruye los datos locales, sino que también daña la sección del registro de arranque maestro (MBR) de un disco duro, lo que impide que el ordenador arranque en el sistema operativo después del reinicio forzado, un comportamiento idéntico al del ataque del limpiador WhisperGate del mes pasado.
ESET dijo que el ataque de ayer fue visto por primera vez a partir de las 16:52, hora de Ucrania. Según el investigador de seguridad MalwareHunterTeam, el malware parece haber sido compilado sólo cinco horas antes de ser desplegado en la naturaleza.
1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591 was just uploaded ~2 hours ago to VT from Ukraine…
— MalwareHunterTeam (@malwrhunterteam) February 23, 2022
👀 https://t.co/T2DovLc4iq
Mientras dure el conflicto de Ucrania y Rusia, los ataques a la infraestructura crítica y de vital importancia seguirán la palestra de los analistas e investigadores de ciberseguridad. Seguiremos informando.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.