CaddyWiper: otro malware de borrado de datos dirigido a redes ucranianas

Dos semanas después de que surgieran detalles sobre una segunda cepa de limpiaparabrisas de datos entregada en ataques contra Ucrania, se ha detectado otro malware destructivo en medio de la continua invasión militar rusa del país.

La compañía eslovaca de ciberseguridad ESET apodó al tercer limpiaparabrisas “CaddyWiper”, que dijo que observó por primera vez el 14 de marzo alrededor de las 9:38 a.m. UTC. Los metadatos asociados con el ejecutable (“caddy.exe”) muestran que el malware se compiló a las 7:19 a.m. UTC, poco más de dos horas antes de su implementación.

“Este nuevo malware borra los datos del usuario y la información de partición de las unidades conectadas”, dijo la compañía en un hilo de tweets. “La telemetría de ESET muestra que se vio en unas pocas docenas de sistemas en un número limitado de organizaciones”.

CaddyWiper es notable por el hecho de que no comparte ninguna similitud con los limpiaparabrisas descubiertos previamente en Ucrania, incluidos HermeticWiper (también conocido como FoxBlade o KillDisk) e IsaacWiper (también conocido como Lasainraw), los dos de los cuales se han implementado en sistemas pertenecientes a entidades gubernamentales y comerciales.

A diferencia de CaddyWiper, se dice que las familias de malware HermeticWiper e IsaacWiper han estado en desarrollo con meses de anticipación antes de su lanzamiento, con las muestras más antiguas conocidas compiladas el 28 de diciembre y el 19 de octubre de 2021, respectivamente.

Pero el limpiaparabrisas recién descubierto comparte una superposición táctica con HermeticWiper en el sentido de que el malware, en un caso, se implementó a través del controlador de dominio de Windows, lo que indica que los atacantes habían tomado el control del servidor de Active Directory.

“Curiosamente, CaddyWiper evita destruir datos en controladores de dominio”, dijo la compañía. “Esta es probablemente una forma para que los atacantes mantengan su acceso dentro de la organización sin dejar de perturbar las operaciones”.

Microsoft, que ha atribuido los ataques de HermeticWiper a un clúster de amenazas rastreado como DEV-0665, dijo que el “objetivo previsto de estos ataques es la interrupción, degradación y destrucción de los recursos dirigidos” en el país.

El desarrollo también llega a medida que los ciberdelincuentes han capitalizado de manera oportunista y cada vez más el conflicto para diseñar señuelos de phishing, incluidos temas de asistencia humanitaria y varios tipos de recaudación de fondos, para ofrecer una variedad de puertas traseras como Remcos.

“El interés global en la guerra en curso en Ucrania lo convierte en un evento de noticias conveniente y efectivo para que los ciberdelincuentes lo exploten”, dijeron los investigadores de Cisco Talos. “Si un determinado tema de señuelo va a aumentar las posibilidades de que una víctima potencial instale su carga útil, lo usarán”.

Pero no es solo Ucrania la que ha estado en el extremo receptor de los ataques con limpiaparabrisas. La semana pasada, la firma de ciberseguridad Trend Micro reveló detalles de un . Limpiaparabrisas basado en NET llamado RURansom que se ha dirigido exclusivamente a entidades en Rusia cifrando los archivos con una clave criptográfica generada aleatoriamente.

“Las claves son únicas para cada archivo cifrado y no se almacenan en ninguna parte, lo que hace que el cifrado sea irreversible y marque el malware como un limpiaparabrisas en lugar de una variante de ransomware”, anotaron los investigadores.

 

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies