En medio de la escalada del conflicto geopolítico entre Rusia y Ucrania, varias organizaciones ucranianas han sido víctimas de una operación de malware destructivo "wiper" que daña el registro de arranque maestro (MBR) de un sistema y destruye el contenido de los archivos seleccionados. Estos ataques continúan y las organizaciones sin presencia ucraniana también deben estar preparadas a medida que se desarrolla la situación.
¿Cuál es la amenaza?
En enero, se encontró en los dispositivos de varias organizaciones importantes de Ucrania un malware "limpiador" destructivo que destruye el contenido de los sistemas afectados sin posibilidad de recuperación. El malware reside en varios directorios de trabajo, incluidos C:\PerfLogs, C:\ProgramData, C:\ y C:\temp, y suele denominarse stage1.exe. En los ataques observados, el malware se ejecutó a través de Impacket, una colección de herramientas disponible públicamente que los actores de amenazas suelen utilizar para el movimiento lateral y la ejecución no autorizada. El ejecutable Stage1 sobreescribe el MBR, la parte de un disco duro que le dice a una computadora cómo cargar su sistema operativo, con una nota de rescate que se ejecuta cuando el dispositivo se apaga. En realidad, la nota de rescate es una artimaña ya que la siguiente etapa del ataque destruye irreversiblemente el contenido de los archivos objetivo. Cuando se ejecuta, el archivo ejecutable stage2 descarga un corruptor de archivos malicioso que, una vez ejecutado en la memoria, ubica archivos en ciertos directorios en el sistema de la víctima, sobrescribe el contenido del archivo con un número fijo de bytes 0xCC (tamaño total del archivo de 1 MB), y cambia el nombre de cada archivo con una extensión aparentemente aleatoria de cuatro bytes.
¿Qué es notable?
Si bien estos ataques solo se han dirigido a organizaciones en Ucrania hasta el momento, otras naciones podrían verse afectadas a medida que el conflicto global continúa desarrollándose. El gobierno ruso, el presunto perpetrador de estos ataques, podría dirigir su atención hacia otras naciones que considera un desafío para sus objetivos geopolíticos, como EE. UU., Canadá y el Reino Unido. La primera ronda de malware de borrado dirigido a organizaciones ucranianas se identificó en enero y una segunda ronda se identificó el 23 de febrero, lo que demuestra que estos ataques continúan. Cuando tienen éxito, estos ataques pueden causar un daño generalizado a una organización, ya que pueden destruir grandes cantidades de datos críticos sin posibilidad de recuperación.
¿Qué es el riesgo de exposición?
Las organizaciones con presencia en Ucrania deben estar en alerta máxima como posibles objetivos inmediatos de este malware. Las organizaciones fuera de Ucrania que tienen su sede en naciones consideradas antagónicas por el gobierno ruso, incluidos EE. UU., Canadá, el Reino Unido y otras naciones occidentales, también deben prepararse en caso de que sean atacadas en un futuro cercano. Específicamente, las organizaciones en los sectores de la energía, el transporte y otras infraestructuras críticas deben estar en alerta máxima, ya que han sido los objetivos preferidos de las campañas anteriores de delitos cibernéticos rusos. Si son atacadas, las organizaciones sin protección “End Point” que impida la ejecución de ejecutables maliciosos serán las más propensas a ser víctimas de este tipo de ataques.
¿Cuáles son las recomendaciones?
Se recomiendan las siguientes acciones para reducir el riesgo de un ataque exitoso de malware de limpieza:
Implemente Endpoint Protection en su organización y asegúrese de que esté configurada para evitar la ejecución de ejecutables maliciosos.
- Supervise los IOC asociados con estos ataques. Tenga en cuenta que las listas actuales no son exhaustivas y que surgirán más IOC a medida que se desarrollen estos ataques.
- Escanee su entorno en busca de malware, el principal vector de ataque usado por los hackers para propagar el malware de día cero, sigue siendo el correo electrónico, por eso recomendamos un sistema Sandbox, que evalúe la seguridad de los correos entrantes previo a que lleguen a los usuarios.
- También es importante contar con un Firewall de nueva generación, que evalúe las amenazas en los archivos que son descargados por los usuarios, en un servicio “sandbox”, previo a su descarga.
PC-Com Mayorista te apoya para ofrecer a tus clientes las mejores soluciones, ya sea en venta, renta o servicio, solo llámanos:
- Censornet Suite te ofrece en una sola consola servicios de Email Security, CASB, Web Security y MFA. Ideal para la seguridad de End Points.
Más información de Censornet Suite
https://www.pccommayorista.com/Censornet-Latinoamerica.aspx
- Barracuda CloudGen Firewall te ofrece la mejor ciberseguridad protegiendo a los usuarios de ataques avanzados, con servicios de Firewalls, IPS, Filtrado Web, Filtrado de aplicaciones, acceso remoto seguro (VPN), balanceo de enlaces, SD-WAN y muchos otros servicios de primer nivel.
Teléfono: +52 (55) 5599.0670
Correo: contacto@pccommayorista.com