La guerra híbrida entre Rusia y Ucrania plantea un escenario crítico en el que los ataques ransomware dirigidos contra empresas estratégicas o infraestructuras críticas ucranianas, se están viendo incrementados. Por este motivo, y dados los últimos ataques dirigidos contra las instituciones de Ucrania, el equipo de Threat Intelligence de S21sec, ha llevado a cabo una investigación descubriendo una nueva familia de malware conocida como wiper (proveniente del inglés como wipe, de borrar) utilizado en los ataques dirigidos contra Ucrania conocido como “HermeticWiper”.
Según los investigadores de seguridad, el malware habría sido instalado en cientos de máquinas ucranianas, indicando la posibilidad que los atacantes hayan tenido acceso a sus objetivos durante meses. El objetivo principal de este tipo de malware es el de destruir los sistemas a los que se dirige o la eliminación de datos dentro de los mismos, lo que provocará grandes daños financieros y a la reputación de las empresas afectadas.
“Este tipo de malware se dirige a grandes empresas y organizaciones gubernamentales, y es posible que esto se deba a que los actores detrás del mismo busquen eliminar trazas de una infección previa, posiblemente destinada a la realización de ciberespionaje, o bien causar el mayor daño posible a un país y empresa”, destaca Sonia Fernández, responsable del equipo de Inteligencia de S21sec.
“Teniendo en cuenta los datos arrojados en nuestras últimas investigaciones, hemos descubierto que las empresas con mayor riesgo son aquellas pertenecientes al sector energético, marítimo, de transportes y, por supuesto, infraestructuras críticas de Ucrania así como de cualquier país con relaciones en el citado país”, señala Sonia Fernández.
Venta clandestina de accesos
Entre los métodos existentes para acceder a las redes internas de una empresa u organización, se debe destacar el uso de credenciales corporativas filtradas. El acceso a este tipo de información se obtiene de forma ilícita a través de distintos foros clandestinos y mercados underground, en los cuales los cibercriminales ponen a la venta credenciales o accesos de distinto tipo a empresas de Ucrania para poder dirigir los ataques.
En la Deep Web se encuentra una innumerable cantidad de foros clandestinos y mercados underground donde los distintos usuarios discuten, comparten y comercializan sobre temas, por lo general, ilícitos. Estos foros requieren, en su mayoría, identificación para poder acceder a las publicaciones de sus miembros y para descargar la información o ponerse en contacto con los vendedores. La compra de estos accesos por parte de los ciberdelincuentes facilita la realización de ataques a un mayor número de compañías.
Este modelo de negocio de compra-venta de accesos, promovido por la actividad que realizan los conocidos initial access brokers, es decir, piratas informáticos que descifran los accesos a servicios de tecnología de empresas e instituciones, ha aumentado considerablemente en los últimos años. Genesis Market, Russian Market o 2easyMarket son algunos de los mercados destinados en su mayor parte a la venta de accesos y las denominadas “huellas digitales”.