top of page

CaddyWiper: Otro Malware dirigido a las redes de Ucrania


Dos semanas después de que se conocieran los detalles sobre de un segundo ataque de malware de limpieza de datos ( data-wiper en inglés) en contra de Ucrania, otro malware destructivo fue detectado en medio de la invasión rusa que afecta al país.

La compañía de ciberseguridad eslovaca ESET, ha apodado a la tercera variación del malware limpia datos como “Caddywiper”, el cual fue observado por primera vez el 14 de marzo cerca de las 9:38 a.m. UTC. Metadatos asociados con los ejecutables (“caddy.exe”) muestran que el malware fue compilado a las 7:19 a.m. UTC, un poco más de dos horas antes de su despliegue.

CaddyWiper es notable por la razón de que no comparte ninguna similitud con el malware limpia datos descubiertos anteriormente en Ucrania, incluyendo HermeticWiper e IsaacWiper dos malware de los cuales han sido desplegados en sistemas pertenecientes al gobierno y las entidades comerciales.

“El objetivo de los hackers al utilizer este malware es borrar datos de usuarios y particiones”.

A diferencia de CaddyWiper, se dice que las familias de ambos malware HermeticWiper e IsaacWiper han estado en desarrollo por meses antes de su lanzamiento, con las muestras más antiguas conocidas compiladas el 19 de octubre y el 28 de diciembre del año pasado.

Pero el malware limpia datos recientemente descubierto comparte una táctica con HermeticWiper en el sentido de que el malware, en una instancia fue pesplegado mediante un controlador de dominio de Windows, que indica que los atacantes habían tomado el control del servidor de Directorio Activo.

“Interesantemente, CaddyWiper evita destruir datos en los controladores de dominio, “la compañía explicó que, “Probablemente esto sea un camino de los atacantes para mantener sus accesos dentro de la organización mientras aún haya operaciones turbulentas”.

El malware limpia datos está programado sistemáticamente para destruir todos los archivos localizados en “C:/Users,” antes de moverse a una siguiente letra de unidad y borrar los archivos hasta alcanzar la “Z”, lo que significa que CaddyWiper también intentará borrar cualquier unidad mapeada en la red conectada al sistema.

"El algoritmo de destrucción de archivos se compone de dos etapas: una primera para sobrescribir los archivos y otra para destruir la disposición del disco físico y las tablas de particiones junto con él", dijeron los investigadores de Cisco Talos en un análisis del malware. "Destruir el inicio de los archivos y las tablas de particiones es una técnica común que se ve en otros malware limpia datos, y es muy eficaz para evitar la recuperación de archivos".

Microsoft, que ha atribuido los ataques de HermeticWiper a un grupo de amenazas rastreado como DEV-0665, dijo que el "objetivo previsto de estos ataques es la interrupción, la degradación y la destrucción de los recursos dirigidos" en los Estados Unidos.

El desarrollo también llega mientras los ciberdelincuentes han capitalizado de manera oportunista y creciente el conflicto para diseñar anzuelos de phishing, incluyendo temas de ayuda humanitaria y varios tipos de recaudación de fondos, para entregar una variedad de (backdoors) como Remcos.

"El interés mundial en la guerra en curso en Ucrania hace que sea un evento noticioso conveniente y eficaz para que los ciberdelincuentes lo exploten", dijeron los investigadores de Cisco Talos. "Si un determinado tema de reclamo va a aumentar las posibilidades de que una víctima potencial instale su carga útil, lo utilizarán".

Pero no es sólo Ucrania la que ha estado en el extremo receptor de los ataques de malware limpia datos. La semana pasada, la empresa de ciberseguridad Trend Micro reveló detalles de un malware limpia datos basado en .NET llamado RURansom que se ha dirigido exclusivamente a entidades de Rusia cifrando los archivos con una clave criptográfica generada aleatoriamente.

"Las claves son únicas para cada archivo cifrado y no se almacenan en ninguna parte, lo que hace que el cifrado sea irreversible y marca el malware como un malware limpia datos en lugar de una variante de ransomware", señalaron los investigadores.

bottom of page