CyberArk Labs está monitorizando en tiempo real la evolución de Hermetic Wiper, el malware que borra todos los datos del sistema que infecta, involucrado en los ciberataques dirigidos a la infraestructura de Ucrania.

Lavi Lazarovitz, director sénior del equipo de investigación cibernética de CyberArk, explica que “hasta el momento, nuestro equipo ha identificado algunas características específicas que hacen que este malware sea único». «Los ataques hasta ahora han sido de naturaleza muy dirigida y las infecciones vistas hasta la fecha aprovechan las identidades comprometidas para moverse lateralmente”, precisa.

“Específicamente, la distribución de Hermetic Wiper no parece estar aprovechando las vulnerabilidades de la cadena de suministro u otras técnicas de superpropagación, lo que significa que la infección no se extenderá rápidamente a otros lugares geográficos. En un caso reportado, el ransomware se implementó utilizando la directiva de grupo de Active Directory, lo que significa que los ciberdelincuentes tenían acceso privilegiado a AD. Este escenario se usa más comúnmente en incidentes dirigidos realizados por humanos (como en el caso de Kaseya)”, comenta.

“Es importante tener en cuenta que Hermetic Wiper aprovecha los elevados privilegios en el host comprometido para hacer que el host no sea ‘arrancable’, al anular los registros y configuraciones de arranque, borrar las configuraciones del dispositivo y eliminar las copias de seguridad. Parece que este malware está configurado para no cifrar controladores de dominio, es decir, para mantener el dominio en ejecución y permitir que el ransomware use credenciales válidas para autenticarse en los servidores y cifrarlos. Esta configuración pone de manifiesto que los ciberdelincuentes utilizan identidades comprometidas para acceder a la red y / o moverse lateralmente», concluye este experto.