El equipo de investigación de la compañía de ciberseguridad ESET ha descuberto un ‘malware’ que tiene la finalidad de destruir la información almacenada en un sistema infectado. Ha sido detectado en cientos de equipos en Ucrania, pocas horas después de que el país sufriera importantes ataques de denegación de servicio contra varias páginas web públicas.

Los investigadores de ESET descubrieron una primera muestra a las 14:52h UTC (15:52 hora española) de 23 de febrero. Sin embargo, al analizarla se descubrió que la fecha de compilación databa del 28 de diciembre de 2021, por lo que este ataque podría haber sido planificado durante dos meses.

El ciberataque sucede en un momento especialmente crítico para Ucrania, aunque aún no se pueden hacer atribuciones y concretar quién está detrás del mismo, puesto que no hay suficientes indicios que permitan señalar a un atacante en concreto. Los ciberataques de falsa bandera están a la orden del día, avisan en ESET.

Un ataque de este tipo consiste en corromper todos los archivos de un sistema, por lo que éste no puede arrancar y queda inutilizado. Es diferente a un ransomware, puesto que no existe la posibilidad de recuperar los archivos y su principal función es dejar inutilizados los sistemas atacados sin posibilidad de que puedan ser recuperados.

El objetivo de este malware es parecido al que provocó el malware NotPetya en junio de 2017, que afectó a muchas empresas y organizaciones principalmente en Ucrania. De hecho, desde hace años el país está siendo objetivo de numerosos ciberataques que han afectado a sectores tan críticos como el energético, con varios ejemplos de ciberataques a plantas generadoras de energía, como BlackEnergy o Industroyer,  que llegaron a producir apagones en ciertas regiones del país.

En enero, Microsoft descubrió un malware bautizado como WhisperGate, dirigido a destruir información pero que se hacía pasar por un ransomware, tal y como sucedió con NotPetya.

El malware está firmado usando un certificado emitido a la empresa Hermetica Digital Ltd. Esto puede hacer que no sea detectado como una amenaza inicialmente al disponer de un certificado válido, pero sí que puede detectarse actividad maliciosa una vez se ejecuta en el sistema si se dispone de una solución de seguridad capaz de detectar comportamientos sospechosos, incluso por parte de herramientas legítimas.

El nombre de la empresa a la que fue asignada este certificado robado y usado por el malware ha sido utilizado para nombrar a la amenaza como HermeticWiper. Con respecto a su funcionamiento, los investigadores de ESET han comprobado que el malware se aprovecha de drivers legítimos pertenecientes al software también legítimo EaseUS Partition Master para corromper los ficheros del sistema, reiniciándolo una vez ha terminado esta operación.

Además, en una de las organizaciones afectadas, ESET detectó que el malware había sido introducido en los sistemas a través de una directiva de grupo por defecto, lo que significaría que los atacantes habrían tomado el control del servidor de Directorio Activo de Windows. Esto, junto con la fecha de compilación de las muestras detectadas, apoyaría la teoría de que se trata de un ataque que se viene preparando desde hace algunos meses.

“Al tratarse de un incidente reciente y que aún podría estar en desarrollo, es posible que en las próximas horas o incluso días veamos su alcance total”, declara Josep Albors, director de investigación y concienciación de ESET España.