Detección de Malware HermeticWiper: Advertencia de CISA y FBI sobre Nuevos Ciberataques Destructivos Dirigidos a Organizaciones Ucranianas
Tabla de contenidos:
El 13 de enero de 2022, un devastador ciberataque golpeó a Ucrania, derribando los activos en línea del gobierno del país, en el cual los atacantes aprovecharon un nuevo malware eliminador de datos conocido como WhisperGate. Justo después de este impactante incidente, el 23 de febrero, los analistas de ciberseguridad revelaron otro malware destructivo que apunta a organizaciones ucranianas llamado HermeticWiper. Este recién descubierto malware destructivo compromete dispositivos Windows al controlar el registro de arranque maestro, lo que lleva a fallos de arranque sucesivos.
Detección y Mitigación del Malware HermeticWiper
Para detectar la actividad maliciosa del malware asociado con HermeticWiper y proteger oportunamente la infraestructura de la organización, los profesionales de seguridad pueden descargar las más recientes detecciones basadas en Sigma desarrolladas con la ayuda de la iniciativa de crowdsourcing de SOC Prime, el Programa Threat Bounty, incluyendo a sus desarrolladores experimentados,-based detections developed with the help of SOC Prime’s crowdsourcing initiative, Threat Bounty Program, including its seasoned developers, Emir Erdoan and Antonio Farina. Todo el contenido de detección dedicado está disponible para descargar en la plataforma Detection as Code de SOC Prime:
Desactivación de CrashDumps a través del registro (HermeticWiper)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender para Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.
La regla Sigma está alineada con el último marco MITRE ATT&CK® v.10, abordando la técnica principal de Impair Defenses (T1562) y la sub-técnica Disable or Modify Tools (T1562.001).
Detecta posible HermeticWiper por instalación específica del controlador
Esta regla Sigma tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Apache Kafka ksqlDB.
El 26 de febrero de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Buró Federal de Investigaciones (FBI) emitieron un aviso conjunto advirtiendo a las organizaciones sobre la actividad maliciosa asociada con WhisperGate y HermeticWiper. El aviso proporciona recomendaciones y orientación sobre cómo proteger la infraestructura de la empresa contra los posibles exploits de estas infames cepas de malware eliminador de datos. La mitigación de HermeticWiper implica los siguientes pasos destinados a mejorar la resiliencia cibernética a lo largo de las organizaciones:
- Monitoreo continuo y escaneo regular a través de programas antivirus y antimalware
- Uso de software de filtro de spam para prevenir correos electrónicos de spear-phishing
- Aplicación de filtros de tráfico de red
- Ejecución de actualizaciones de software programadas
- Habilitación de autenticación multi-factor
Análisis de HermeticWiper
El malware, llamado HermeticWiper, surge de un nombre de empresa que lanzó una firma digital de HermeticWiper para la muestra. Los investigadores suponen que los hackers aprovecharon una shell o una empresa no operativa para emitir el certificado.
En el proceso de despliegue de HermeticWiper, imita un software a medida de funcionalidad limitada. La muestra es de 114KB, con recursos que representan alrededor del 70% de la carga. Los adversarios están empleando un enfoque probado de malware eliminador que explota un controlador de partición benigno para ejecutar los elementos más dañinos de sus operaciones. Se sabe que varios grupos de hackers han abusado de EldoS RawDisk para acceso directo desde el espacio de usuario a los archivos, superando las API de Windows. Cuando se ejecuta el malware, activa SeBackupPrivilege, otorgando a los atacantes acceso de lectura a los archivos. HermeticWiper posteriormente agrega SeLoadDriverPrivilege, lo que le permite cargar y descargar controladores de dispositivos, así como SEShutdownPrivilege, permitiéndole apagar el sistema infringido. Una vez apagado, no es posible operar el proceso de arranque. Aún no se ha identificado funcionalidad adicional más allá de las capacidades de eliminación del malware.
Únase a la plataforma Detection as Code de SOC Prime para potenciar sus capacidades de detección de amenazas con el poder de la experiencia en ciberseguridad global. ¿Busca formas de contribuir con su propio contenido de detección y fomentar la defensa cibernética colaborativa? Únase a la iniciativa de crowdsourcing de SOC Prime para enviar sus propias reglas Sigma y YARA, hacer que se publiquen en la plataforma, contribuir a un ciberespacio más seguro y recibir recompensas periódicas por su contribución!
