ESET bajo ataque: detalles del supuesto hackeo

ESET negó las acusaciones de compromiso de sus sistemas después de que el especialista en ciberseguridad Kevin Beaumont hablara sobre una campaña con wiper que parecía ser una operación realizada utilizando la infraestructura de ESET.

Según el blog de Beaumont, un empleado de una empresa israelí fue víctima de un programa malicioso después de abrir un enlace en un correo supuestamente enviado por el equipo de ESET Advanced Threat Defense en Israel. El correo pasó exitosamente las verificaciones de DKIM y SPF para el dominio de ESET, aunque Google Workspace lo marcó como peligroso.

El ataque se registró el 8 de octubre y tuvo como objetivo a especialistas en ciberseguridad en Israel. El archivo malicioso se distribuyó a través de servidores de ESET, y los destinatarios fueron advertidos de que la campaña estaba siendo llevada a cabo por un atacante «respaldado por el estado». A las víctimas también se les ofreció participar en el programa ESET Unleashed, el cual en realidad no existe como iniciativa independiente, aunque se mencionó en el branding de la compañía.

El investigador encontró varias bibliotecas DLL de ESET y un archivo setup.exe malicioso en el fichero descargado. Beaumont describió el programa como un ransomware falso que imitaba el funcionamiento del conocido malware Yanluowang . Beaumont también señaló que los archivos en los dispositivos no se pueden recuperar, ya que se trata de un wiper.

Durante su ejecución, el malware hacía referencia a una organización relacionada con el Día de la Guerra de Espadas de Hierro, en memoria de las víctimas del ataque del 7 de octubre de 2023. Los hechos sugieren la posible participación de hacktivistas.

ESET desmintió la versión de Beaumont sobre un hackeo en la oficina israelí de la compañía. La empresa destacó que el incidente afectó a una organización asociada en Israel y que la campaña maliciosa fue bloqueada en 10 minutos. ESET aseguró que bloquea la amenaza con éxito y que sus clientes están a salvo. La empresa también confirmó que está trabajando con su socio en la investigación y sigue monitoreando la situación.

Aún no se ha identificado la fuente de la actividad maliciosa, pero los métodos utilizados en el ataque son similares a las tácticas del grupo pro-palestino Handala. Investigadores de Trellix informaron anteriormente que Handala utiliza activamente wipers en sus ataques contra organizaciones israelíes, señalando cientos de incidentes durante varias semanas en julio.