www.welivesecurity.com
Open in
urlscan Pro
2600:141b:13::17d7:823a
Public Scan
URL:
https://www.welivesecurity.com/la-es/2022/03/02/isaacwiper-hermeticwizard-nuevo-wiper-y-worm-utilizados-ciberataques-ucrania/
Submission: On May 05 via api from CA — Scanned from CA
Submission: On May 05 via api from CA — Scanned from CA
Form analysis 2 forms found in the DOM
POST https://enjoy.eset.com/pub/rf
<form action="https://enjoy.eset.com/pub/rf" class="basic-searchform col-md-12 col-sm-12 col-xs-12 no-padding newsletter" method="post" role="search">
<div class="search-input clearfix">
<input type="text" name="EMAIL_ADDRESS_" value="" placeholder="Correo electrónico...">
<input type="hidden" name="TOPIC" value="We Live Security ES Ukraine Newsletter">
<input type="hidden" name="_ri_" value="X0Gzc2X%3DAQpglLjHJlTQGgXv4jDGEK4KW2uhw0qgUzfwuivmOJOPCgzgo9vsI3VwjpnpgHlpgneHmgJoXX0Gzc2X%3DAQpglLjHJlTQGzbD6yU2pAgzaJM16bkTA7tOwuivmOJOPCgzgo9vsI3">
<input type="hidden" name="_ei_" value="Ep2VKa8UKNIAPP_2GAEW0bY">
<input type="hidden" name="_di_" value="m0a5n0j02duo9clmm4btuu5av8rdtvqfqd03v1hallrvcob47ad0">
<input type="hidden" name="EMAIL_PERMISSION_STATUS_" value="O">
<input type="hidden" name="CONTACT_SOURCE_MOST_RECENT" value="WLS_Subscribe_Form">
<button class="button-flag"> Enviar </button>
</div>
</form>POST https://enjoy.eset.com/pub/rf
<form action="https://enjoy.eset.com/pub/rf" class="basic-searchform col-md-12 col-sm-12 col-xs-12 no-padding newsletter" method="post" role="search">
<div class="search-input clearfix">
<input type="text" name="EMAIL_ADDRESS_" value="" placeholder="Correo electrónico...">
<input type="hidden" name="NEWSLETTER" value="We Live Security ES">
<input type="hidden" name="_ri_" value="X0Gzc2X%3DAQpglLjHJlTQGgXv4jDGEK4KW2uhw0qgUzfwuivmOJOPCgzgo9vsI3VwjpnpgHlpgneHmgJoXX0Gzc2X%3DAQpglLjHJlTQGzbD6yU2pAgzaJM16bkTA7tOwuivmOJOPCgzgo9vsI3">
<input type="hidden" name="_ei_" value="Ep2VKa8UKNIAPP_2GAEW0bY">
<input type="hidden" name="_di_" value="m0a5n0j02duo9clmm4btuu5av8rdtvqfqd03v1hallrvcob47ad0">
<input type="hidden" name="EMAIL_PERMISSION_STATUS_" value="O">
<input type="hidden" name="CONTACT_SOURCE_MOST_RECENT" value="WLS_Subscribe_Form">
<button class=""> Enviar </button>
</div>
</form>Text Content
En Español
* Em Português
* En français
* In English
* In Deutsch
Menu toggle menu
* Últimos Posts
* Crisis en Ucrania – Centro de Recursos de Seguridad Digital
* Investigaciones
* Infografías
* Videos
* Podcasts
* White Papers
* Reportes
* Guías
* Nuestros Expertos
* Glosario
* We Live Progress
* Em Português
* En français
* In English
* In Deutsch
Noticias, opiniones y análisis de la comunidad de seguridad de ESET
ISAACWIPER Y HERMETICWIZARD: UN NUEVO WIPER Y WORM UTILIZADOS EN CIBERATAQUES A
UCRANIA
Investigadores de ESET descubren IsaacWiper, un nuevo malware que destruye datos
y que ataca a organizaciones ucranianas, y HermeticWizard, un componente con
capacidad de gusano utilizado para distribuir HermeticWiper en redes locales.
ESET Research
2 Mar 2022 - 06:29AM
Compartir
Investigadores de ESET descubren IsaacWiper, un nuevo malware que destruye datos
y que ataca a organizaciones ucranianas, y HermeticWizard, un componente con
capacidad de gusano utilizado para distribuir HermeticWiper en redes locales.
Cuando comenzaron los ataques entre Rusia y Ucrania, los investigadores de ESET
descubrieron varias familias de malware dirigidas a organizaciones ucranianas.
* El 23 de febrero de 2022, una campaña con fines destructivos utilizó
HermeticWiper y apunto contra varias organizaciones ucranianas.
* Este ciberataque fue unas horas después del inicio de la invasión a Ucrania
por parte de las fuerzas de la Federación Rusa
* Los vectores de acceso inicial utilizados fueron diferentes de una
organización a otra. Confirmamos un caso en el que el wiper fue droppeado
mediante GPO y que ocultaba un worm utilizado para propagar el wiper en otra
red comprometida.
* Elementos en el malware sugieren que los ataques habían sido planeados
durante varios meses.
* El 24 de febrero de 2022, comenzó un segundo ataque con intenciones
destructivas contra una red gubernamental ucraniana, utilizando un wiper al
que hemos llamado IsaacWiper.
* ESET Research aún no ha podido atribuir estos ataques a un actor de amenazas
conocido.
CIBERATAQUES DESTRUCTIVOS EN UCRANIA
Como reveló el equipo de ESET Research en este tweet y también en este artículo
publicado en WeLiveSecurity, descubrimos un ataque con intenciones destructivas
dirigido a computadoras en Ucrania que comenzó el 23 de febrero de 2022
alrededor de las 14:52 UTC. Esto ocurrió después de los ataques distribuidos de
denegación de servicio (DDoS) contra algunos de los principales sitios web
ucranianos y pocas horas después de la invasión militar rusa.
Estos ataques con objetivos destructivos utilizaron al menos tres componentes:
* HermeticWiper: hace que un sistema quede inoperativo al corromper sus datos
* HermeticWizard: distribuye HermeticWiper a través de una red local vía WMI y
SMB
* HermeticRansom: ransomware escrito en Go
HermeticWiper fue detectado en cientos de sistemas y en al menos cinco
organizaciones ucranianas.
El 24 de febrero de 2022 detectamos otro nuevo malware del tipo wiper en una red
gubernamental ucraniana. Lo llamamos IsaacWiper y actualmente estamos evaluando
sus vínculos, si es que los hay, con HermeticWiper. Es importante señalar que
IsaacWiper se detectó en una organización que no había sido afectada por
HermeticWiper.
ATRIBUCIÓN
Hasta el momento no hemos identificado ninguna conexión tangible con un actor de
amenazas conocido. HermeticWiper, HermeticWizard y HermeticRansom no comparten
ninguna similitud de código significativa con otras muestras que componen la
colección de malware de ESET. Por su parte, IsaacWiper tampoco ha sido
atribuido.
CRONOLOGÍA
HermeticWiper y HermeticWizard fueron firmados mediante un certificado de firma
de código (que se muestra en la Figura 1) asignado a Hermetica Digital Ltd
emitido el 13 de abril de 2021. Solicitamos a la autoridad certificadora
(DigiCert) que revocara el certificado, lo cual hizo el 24 de febrero de 2022.
Figura 1. Certificado de firma de código asignado a Hermetic Digital Ltd
Según un informe de Reuters, parece que este certificado no fue robado de
Hermetica Digital, sino que probablemente los atacantes se hicieran pasar por la
empresa chipriota para obtener este certificado de DigiCert.
Los investigadores de ESET aseguran con mucha confianza que las organizaciones
afectadas fueron comprometidas mucho antes de que se distribuyeran estos wiper.
Esto se basa en varios hechos:
* Según las marcas de tiempo de compilación del PE de HermeticWiper la más
antigua es del 28 de diciembre de 2021
* La fecha de emisión del certificado de firma de código es del 13 de abril de
2021
* La distribución de HermeticWiper a través de GPO en al menos una de las
instancias sugiere que los atacantes tenían acceso previo a uno de los
servidores de Active Directory de esa víctima.
Un resumen de cómo fueron los hechos puede observarse en la Figura 2.
Figura 2. Cronología de los eventos más importantes
ACCESO INICIAL
HERMETICWIPER
Actualmente se desconoce el vector de acceso inicial, pero hemos observado
artefactos para realizar el movimiento lateral una vez dentro de las
organizaciones atacadas. En una entidad, por ejemplo, el wiper se desplegó a
través de la política de dominio predeterminada (GPO, por sus siglas en inglés),
como se muestra en su ruta en el sistema:
C:\Windows\system32\GroupPolicy\DataStore\0\sysvol\<redacted>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\cc.exe
Esto indica que probablemente los atacantes tomaron el control del servidor de
Active Directory.
En otros casos, es posible que HermeticWiper haya sido desplegado utilizando
Impacket. Una publicación en el blog de Symantec apunta que el wiper se desplegó
utilizando la siguiente línea de comando:
cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE\temp\sys.tmp1
CSIDL_WINDOWS\policydefinitions\postgresql.exe 1>
\\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1
La última parte es la misma que el comportamiento predeterminado en wmiexec.py
de Impacket. Ver en GitHub.
Finalmente, se utilizó un worm personalizado, al que hemos denominado
HermeticWizard, para propagar HermeticWiper a lo largo de las redes
comprometidas a través de SMB y WMI.
ISAACWIPER
El vector de acceso inicial también se desconoce actualmente. Es probable que
los atacantes hayan utilizado herramientas como Impacket para moverse
lateralmente. En algunas máquinas también hemos observado una herramienta de
acceso remoto llamada RemCom, la cual se distribuyó al mismo tiempo que
IsaacWiper.
ANÁLISIS TÉCNICO
HERMETICWIPER
HermeticWiper es un ejecutable de Windows con cuatro controladores embebidos en
sus recursos. Son controladores legítimos del software EaseUS Partition Master
firmado por CHENGDU YIWO Tech Development Co. e implementan operaciones de bajo
nivel en el disco. Se observaron los siguientes archivos:
* 0E84AFF18D42FC691CB1104018F44403C325AD21: x64 driver
* 379FF9236F0F72963920232F4A0782911A6BD7F7: x86 driver
* 87BD9404A68035F8D70804A5159A37D1EB0A3568: x64 XP driver
* B33DD3EE12F9E6C150C964EA21147BF6B7F7AFA9: x86 XP driver
Según la versión del sistema operativo se elige uno de esos cuatro controladores
y se droppea en C:\Windows\System32\drivers\<4 random letters>.sys. Luego se
carga creando un servicio.
Luego, HermeticWiper continúa por deshabilitar el servicio de Volume Shadow Copy
(VSS) y se borra del disco a sí mismo sobrescribiendo su propio archivo con
bytes aleatorios. Esta medida antiforense probablemente sea con la intención de
evitar el análisis del wiper posterior al incidente.
Es interesante notar que la mayoría de las operaciones con archivos se realizan
a bajo nivel mediante llamadas a DeviceIoControl.
Las siguientes ubicaciones son sobrescritas con bytes aleatorios generados por
la función de la API de Windows CryptGenRandom:
* El master boot record (MBR)
* La tabla maestra de archivos (MFT)
* $Bitmap y $LogFile en todas las unidades
* Los archivos que contienen las claves de registro (NTUSER*)
* C:\Windows\System32\winevt\Logs
Adicionalmente, también borra recursivamente carpetas y archivos en Windows,
Program Files, Program Files(x86), PerfLogs, Boot, System Volume Information y
carpetas AppData usando una operación FSCTL_MOVE_FILE. Esta técnica parece ser
bastante inusual y muy similar a lo que se implementa en el proyecto Windows
Wipe en GitHub (ver la función wipe_extent_by_defrag). También borra links
simbólicos y archivos grandes en las carpetas My Documents y Desktop
sobrescribiéndolos con bytes aleatorios.
Finalmente, la máquina es reiniciada. Sin embargo, no podrá arrancar porque el
master boot record, la tabla maestra de archivos y la mayoría de los archivos
fueron borrados. Creemos que no es posible recuperar las máquinas afectadas.
HERMETICWIZARD
Buscando otras muestras firmadas por el mismo certificado de firma de código
(Hermetica Digital Ltd), encontramos una nueva familia de malware que llamamos
HermeticWizard.
Se trata de un gusano que fue desplegado en un sistema en Ucrania a las 14:52:49
del 23 de febrero de 2022 UTC. Es un archivo DLL desarrollado en C++ que exporta
las funciones DllInstall, DllRegisterServer, y DllUnregisterServer. Su nombre es
Wizard.dll. Contiene tres recursos, los cuales son archivos PE cifrados:
* Una muestra de HermeticWiper (912342F1C840A42F6B74132F8A7C4FFE7D40FB77)
* exec_32.dll, responsable de propagar la amenaza a otras computadoras locales
a través de WMI (6B5958BFABFE7C731193ADB96880B225C8505B73)
* romance.dll, responsable de propagar el wiper a otras computadoras locales a
través de SMB (AC5B6F16FC5115F0E2327A589246BA00B41439C2)
Los recursos están cifrados mediante un loop XOR inverso. Cada bloque de cuatro
bytes es XOReado con el bloque anterior. Finalmente, el primer bloque es XOReado
con un valor hardcodeado: 0x4A29B1A3.
HermeticWizard se inicia usando la línea de comando regsvr32.exe /s /i <path>.
Primero, HermeticWizard intenta encontrar otras máquinas en la red local.
Recopila direcciones IP locales conocidas utilizando las siguientes funciones de
Windows:
* DNSGetCacheDataTable
* GetIpNetTable
* WNetOpenEnumW(RESOURCE_GLOBALNET, RESOURCETYPE_ANY)
* NetServerEnum
* GetTcpTable
* GetAdaptersAddresses
Luego intenta conectarse a esas direcciones IP (y solo si son direcciones IP
locales) para ver si aún están accesibles. En caso de que se haya proporcionado
el argumento -s cuando se inicia HermeticWizard (regsvr32.exe /s /i:-s <path>),
también analiza el rango completo /24. Por lo tanto, si se encuentra
192.168.1.5, por ejemplo, en la caché de DNS, escanea de forma incremental desde
192.168.1.1 hasta 192.168.1.254. Para cada dirección IP intenta abrir una
conexión TCP en los siguientes puertos:
* 20: ftp
* 21: ftp
* 22: ssh
* 80: http
* 135: rpc
* 137: netbios
* 139: smb
* 443: https
* 445: smb
Los puertos son escaneados en un orden aleatorio, por lo que no es posible
identificar el tráfico de HermeticWizard de esa manera.
Cuando ha encontrado una máquina accesible, droppea el componente WMI spreader
(detallado a continuación) en el disco y crea un nuevo proceso con la línea de
comando rundll32 <current folder>\<6 random letters>.ocx #1 -s <path to
HermeticWizard> – i <target IP>.
Hace lo mismo con el componente SMB spreader (detallado a continuación) que
también es droppeado en <current folder>\<6 random letters>.ocx, pero con
diferentes letras aleatorias.
Finalmente, dropea HermeticWiper en <current folder>\<6 random letters>.ocx y lo
ejecuta.
COMPONENTE WMI SPREADER
El componene WMI spreader, nombrado por sus desarrolladores exec_32.dll, toma
dos argumentos:
* -i: la dirección IP de la víctima
* -i: el archivo para copiar y ejecutar en la máquina víctima
En primer lugar, crea una conexión con el recurso compartido remoto ADMIN$ de la
víctima mediante WNetAddConnection2W. El archivo proporcionado en el argumento
-s luego se copia usando CopyFileW. El archivo remoto tiene un nombre aleatorio
generado con CoCreateGUID (por ejemplo, cB9F06408D8D2.dll) y un formato de
string c%02X%02X%02X%02X%02X%02X.
En segundo lugar, intenta ejecutar el archivo copiado, HermeticWizard, en la
máquina remota utilizando DCOM. Llama a CoCreateInstance con CLSID_WbemLocator
como argumento. Luego usa WMI Win32_Process para crear un nuevo proceso en la
máquina remota, con la línea de comando C:\windows\system32\cmd.exe /c start
C:\windows\system32\\regsvr32.exe /s /i C:\windows\<filename>.dll.
Nótese que el argumento -s no se pasa a HermeticWizard, lo que significa que no
volverá a escanear la red local desde esta máquina recientemente comprometida.
Si la técnica de WMI falla, intenta crear un servicio utilizando
OpenRemoteServiceManager con el mismo comando que antes.
Si tiene éxito en la ejecución de la DLL remota de alguna manera, queda a la
espera hasta poder eliminar el archivo remoto.
COMPONENTE SMB SPREADER
El spreader SMB, llamado por sus desarrolladores romance.dll, toma los mismos
dos argumentos que WMI spreader. Es probable que su nombre interno sea una
referencia al exploit EternalRomance, incluso si no utiliza ningún exploit.
Primero intenta conectarse a las siguientes canalizaciones en el recurso
compartido SMB remoto (en el puerto 445):
* samr
* browser
* netlogon
* lsarpc
* ntsvcs
* svcctl
Estas son las canalizaciones que se sabe que se utilizan en el movimiento
lateral. El componente spreader tiene una lista de credenciales harcodeadas que
son utilizadas para intentar autenticarse a través de NTLMSSP en los recursos
compartidos de SMB:
— usernames —
guest
test
admin
user
root
administrator
manager
operator
— passwords —
123
Qaz123
Qwerty123
Esta lista de credenciales es sorprendentemente corta y es poco probable que
funcione, incluso en las redes menos protegidas.
Si la conexión es exitosa, intenta droppear el archivo al que hace referencia el
argumento -s en el recurso compartido ADMIN$ de la víctima. En cuanto al
componente WMI spreader, el nombre de archivo remoto se genera mediante una
llamada a CoCreateInstance.
Luego ejecuta, a través de SMB, la línea de comando cmd /c start regsvr32 /s /i
..\\<filename> & start cmd /c \”ping localhost -n 7 & wevtutil cl System\”.
HERMETICRANSOM
Los investigadores de ESET también detectaron el uso de HermeticRansom, un
ransomware escrito en Go, en ataques a Ucrania al mismo tiempo que corría la
campaña de HermeticWiper. HermeticRansom fue reportado por primera vez durante
las primeras horas del 24 de febrero de 2022 UTC, a través de un tweet de AVAST.
Nuestra telemetría muestra una distribución de HermeticRansom mucho más pequeña
en comparación con HermeticWiper. Este ransomware se distribuyó al mismo tiempo
que HermeticWiper, posiblemente para ocultar las acciones del wiper. En una de
las máquinas se observó lo siguiente:
* 2022-02-23 17:49:55 UTC: se desplegó HermeticWiper en C:\Windows\Temp\cc.exe
* 2022-02-23 18:06:57 UTC: Se desplegó HermeticRansom en
C:\Windows\Temp\cc2.exe mediante el servicio netsvcs
* 2022-02-23 18:26:07 UTC: Se desplegó el segundo HermeticWiper en
C:\Users\com.exe
En una ocasión, observamos la distribución de HermeticRansom a través de GPO, al
igual que con HermeticWiper:
C:\WINDOWS\system32\GroupPolicy\DataStore\0\sysvol\<redacted>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\cpin.exe
Los atacantes dejaron algunas strings en el binario; las mismas hacen referencia
al presidente estadounidense Biden y a la Casa Blanca:
* _/C_/projects/403forBiden/wHiteHousE.baggageGatherings
* _/C_/projects/403forBiden/wHiteHousE.lookUp
* _/C_/projects/403forBiden/wHiteHousE.primaryElectionProcess
* _/C_/projects/403forBiden/wHiteHousE.GoodOffice1
Una vez que los archivos están cifrados, se despliega a la víctima el mensaje
que se observa en la Figura 3.
Figura 3. Nota de rescate de HermeticRansom
ISAACWIPER
IsaacWiper se encuentra en un archivo DLL o EXE de Windows sin firma
Authenticode; apareció en nuestra telemetría el 24 de febrero de 2022. Como se
mencionó anteriormente, la marca de tiempo de compilación del PE más antigua que
encontramos es del 19 de octubre de 2021, lo que significa que, si no se
manipuló la marca de tiempo de compilación del PE, es posible que IsaacWiper
haya sido utilizado meses atrás en anteriores operaciones.
En el caso de las muestras de DLL, el nombre en el directorio de exportación del
PE es Cleaner.dll y tiene el exportador _Start@4.
Hemos observado a IsaacWiper en %programdata% y en C:\Windows\System32
utilizando los siguientes nombres de archivo:
* clean.exe
* cl.exe
* cl64.dll
* cld.dll
* cll.dll
No tiene similitud de código con HermeticWiper y es mucho menos sofisticado.
Dada la cronología de los acontecimientos, es posible que ambos estén
relacionados, pero aún no hemos encontrado ninguna conexión sólida que nos
permita afirmarlo.
IsaacWiper comienza enumerando las unidades físicas y llama a DeviceIoControl
con el IOCTL IOCTL_STORAGE_GET_DEVICE_NUMBER para obtener sus números de
dispositivo. Luego borra los primeros 0x10000 bytes de cada disco utilizando el
generador pseudoaleatorio ISAAC. El generador es inicializado utilizando el
valor GetTickCount.
Luego enumera las unidades lógicas y borra recursivamente todos los archivos de
cada disco con bytes aleatorios también generados por ISAAC PRNG. Es interesante
notar que borra recursivamente los archivos en un solo hilo, lo que significa
que tardaría mucho tiempo en borrar un disco grande.
El 25 de febrero de 2022, los atacantes utilizaron una nueva versión de
IsaacWiper con depuración de logs. Esto puede indicar que los atacantes no
pudieron llevar a cabo el borrado en algunas de las máquinas apuntadas
previamente y agregaron mensajes de log para comprender lo que estaba
sucediendo. Los logs están almacenados en C:\ProgramData\log.txt y algunos de
los mensajes de log son:
* getting drives…
* start erasing physical drives…
* –– start erasing logical drive
* start erasing system physical drive…
* system physical drive –– FAILED
* start erasing system logical drive
CONCLUSIÓN
Este informe detalla lo que fue un ciberataque con fines destructivos que afectó
a organizaciones ucranianas el 23 de febrero de 2022 y un segundo ataque que
afectó a una organización ucraniana diferente y que ocurrió del 24 al 26 de
febrero de 2022. En este momento, no tenemos indicios de que otros países hayan
sido atacados.
Sin embargo, debido a la crisis actual en Ucrania, todavía existe el riesgo de
que los mismos actores de amenazas lancen nuevas campañas contra países que
respaldan al gobierno ucraniano o que sancionan a entidades rusas.
IOCS
SHA-1FilenameESET detection nameDescription
912342F1C840A42F6B74132F8A7C4FFE7D40FB77com.exeWin32/KillDisk.NCVHermeticWiper
61B25D11392172E587D8DA3045812A66C3385451conhosts.exeWin32/KillDisk.NCVHermeticWiper
3C54C9A49A8DDCA02189FE15FEA52FE24F41A86Fc9EEAF78C9A12.datWin32/GenCBL.BSPHermeticWizard
F32D791EC9E6385A91B45942C230F52AFF1626DFcc2.exeWinGo/Filecoder.BKHermeticRansom
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3cl64.dllWin32/KillMBR.NHPIsaacWiper
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950cld.dllWin32/KillMBR.NHQIsaacWiper
E9B96E9B86FAD28D950CA428879168E0894D854Fclean.exeWin32/KillMBR.NHPIsaacWiper
23873BF2670CF64C2440058130548D4E4DA412DDXqoYMlBX.exeWin32/RiskWare.RemoteAdmin.RemoteExec.ACLegitimate
RemCom remote access tool
TÉCNICAS DE MITRE ATT&CK
Esta tabla fue creada utilizando la versión 10 del framework de MITRE ATT&CK
TacticIDNameDescription Resource DevelopmentT1588.002Obtain Capabilities:
ToolAttackers used RemCom and potentially Impacket as part of their campaign.
T1588.003Obtain Capabilities: Code Signing CertificatesAttackers acquired a
code-signing certificate for their campaigns. Initial AccessT1078.002Valid
Accounts: Domain AccountsAttackers were able to deploy wiper malware through
GPO. ExecutionT1059.003Command and Scripting Interpreter: Windows Command
ShellAttackers used the command line during their attack (e.g., possible
Impacket usage). T1106Native APIAttackers used native APIs in their malware.
T1569.002System Services: Service ExecutionHermeticWiper uses a driver, loaded
as a service, to corrupt data. T1047Windows Management
InstrumentationHermeticWizard attempts to spread to local computers using WMI.
DiscoveryT1018Remote System DiscoveryHermeticWizard scans local IP ranges to
find local machines. Lateral MovementT1021.002Remote Services: SMB/Windows Admin
SharesHermeticWizard attempts to spread to local computers using SMB.
T1021.003Remote Services: Distributed Component Object ModelHermeticWizard
attempts to spread to local computers using WbemLocator to remotely start a new
process via WMI. ImpactT1561.002Disk Wipe: Disk Structure WipeHermeticWiper
corrupts data in the system’s MBR and MFT. T1561.001Disk Wipe: Disk Content
WipeHermeticWiper corrupts files in Windows, Program Files, Program Files(x86),
PerfLogs, Boot, System Volume Information, and AppData. T1485Data
DestructionHermeticWiper corrupts user data found on the system.
T1499.002Endpoint Denial of Service: Service Exhaustion FloodBy using DDoS
attacks, the attackers made a number of government websites unvailable.
ESET Research
2 Mar 2022 - 06:29AM
SUSCRÍBASE AQUÍ PARA RECIBIR ACTUALIZACIONES SOBRE CUALQUIER ARTÍCULO NUEVO EN
LA SECCIÓN CRISIS EN UCRANIA.
Enviar
NEWSLETTER
Enviar
ARTÍCULOS SIMILARES
Investigaciones
DESCUBREN VULNERABILIDADES DE ALTO IMPACTO EN UEFI DE LAPTOPS LENOVO
Investigaciones
ESET CONTRIBUYE EN OPERACIÓN GLOBAL PARA INTERRUMPIR LAS BOTNETS ZLOADER
Crisis en Ucrania - Centro de Recursos de Seguridad Digital
NUEVA VERSIÓN DEL MALWARE INDUSTROYER UTILIZADA EN ATAQUE CONTRA PROVEEDOR DE
ENERGÍA EN UCRANIA
Crisis en Ucrania - Centro de Recursos de Seguridad Digital
¿ES DESCABELLADO PENSAR EN UN ESCENARIO DE DISUASIÓN CIBERNÉTICA?
DISCUSIÓN
* Inicio
* Acerca de
* Contáctanos
* Mapa del Sitio
* Nuestros Expertos
* ESET
* Investigaciones
* Tutoriales
* Categorías
* RSS
* Noticias
Política de Privacidad Información Legal
Copyright © ESET, Todos Los Derechos Reservados
Back to top
Las cookies hacen que un sitio web sea mejor
Utilizamos cookies para brindar una experiencia en línea optimizada con
información consistente. Puede aceptar la recopilación de todas las cookies al
hacer clic en el botón `Aceptar y cerrar` o ajustar la configuración de sus
cookies hacienco clic en Administrar Cookies. Lea nuestra Política de Cookies
para más información.
Aceptar y cerrar
Administrar cookies
Cookies esenciales
Estas cookies permiten a nuestro sitio web funcionar de forma adecuada y
realizar acciones como retener los artículos en su carro o mostrar contenido en
su lenguaje de preferencia de manera automática.
Cookies de análisis
Estas cookies nos ayudan a mejorar nuestro sitio web al comprender cómo nuestros
visitantes interactúan con el sitio al recolectar y reportar información de
manera anónima.
Cookies de marketing
Estas cookies nos permiten, hasta cierto punto, rastrear su actividad en línea.
Esto beneficia a los usuarios al permitirnos limitar el número de anuncios al
solo mostrar aquellos que son relevantes para usted.
Aceptar y cerrar
Volver