Los investigadores han descubierto una nueva forma de malware de limpieza que se utiliza en ataques contra organizaciones ucranianas.
El 14 de marzo, ESET publicó un Hilo de Twitter documentando el malware, denominado CaddyWiper, que se compiló el mismo día que se implementó en las redes de destino.
El limpiaparabrisas, el tercero descubierto en tantas semanas por la firma de ciberseguridad, se ha detectado «en unas pocas docenas de sistemas en un número limitado de organizaciones», según ESET.
CaddyWiper es un malware de limpieza, un código malicioso diseñado específicamente para dañar los sistemas de destino al borrar los datos del usuario, los programas, los discos duros y, en algunos casos, la información de la partición.
A diferencia del ransomware, los troyanos y otras variantes comunes de malware, los limpiadores no se enfocan en el robo o la ganancia financiera, sino que borran todo a su paso con fines puramente destructivos.
El nuevo limpiador sigue este patrón al borrar los datos del usuario y la información de la partición. Sin embargo, ESET dice que CaddyWiper evita borrar información en los controladores de dominio.
«Esta es probablemente una forma de que los atacantes mantengan su acceso dentro de la organización mientras siguen perturbando las operaciones», dijo el equipo.
En los casos detectados hasta ahora, CaddyWiper se propagó a través de objetos de directiva de grupo (GPO) de Microsoft y, en un ejemplo, se abusó del GPO predeterminado de una red para propagar el malware, lo que sugiere que los atacantes ya habían obtenido acceso a los servicios de Active Directory. antes de la implementación de CaddyWiper.
ESET señaló que CaddyWiper no comparte ninguna similitud de código «significativa» con HermeticWiper o IsaacWiper, sin embargo, otras dos cepas de limpiaparabrisas encontradas por la empresa en las últimas semanas.
HermeticWiper ha afectado a cientos de máquinas pertenecientes a organizaciones ucranianas y abusa de los controladores para sus actividades de destrucción de datos. IsaacWiper, que se encuentra en una red del gobierno ucraniano, también contiene capacidades similares a las de un gusano y características de ransomware.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha solicitado que las organizaciones en el país que sospechen la infiltración de CaddyWiper informen tales incidentes.
Microsoft advirtió por primera vez sobre el uso de malware de limpiaparabrisas contra Ucrania en enero, antes de la invasión de Rusia. El país también experimentó un ataque de denegación de servicio distribuido (DDoS), lanzado contra los servicios gubernamentales y los bancos, lo que generó llamados para un «ejército de TI» voluntario para proteger la infraestructura crítica de Ucrania.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0