CaddyWiper: novo malware que apaga dados é descoberto na Ucrânia

Analistas da empresa de cibersegurança Eset descobriram na última segunda-feira (14) um novo malware do tipo wiper (destruidor de dados) usado em ataques contra organizações na Ucrânia. Batizado de CaddyWiper, o malware apaga dados de usuários e informações de unidades conectadas. Ele foi verificado, segundo a empresa, “em dezenas de sistemas em um número limitado de organizações”.

Desenhado para limpar dados no domínio do Windows — ele é detectado como Win32/KillDisk.ncx —, o CaddyWiper não possui semelhanças significativas com o HermeticWiper ou o IsaacWiper, os outros dois malwares tipo wiper que têm afetado as organizações ucranianas desde o início da guerra com a Rússia. De acordo com a Eset, o malware, cuja origem é desconhecida, foi descarregado no mesmo dia em que foi compilado.

“Pelas informações disponíveis até o momento, nós da Eset não identificamos nenhuma conexão tangível com um agente de ameaça conhecido; portanto, não poderíamos fazer uma atribuição”, explica o chefe do laboratório de pesquisa da Eset na América Latina, Camilo Gutiérrez Amaya. “Vale ressaltar que não é a primeira vez que vemos ataques usando código malicioso na Ucrânia, em 2016 encontramos ameaças como BlackEnergy ou Industryroyer em 2017, que visavam infraestrutura crítica como abastecimento de água, eletricidade e gás.”

Embora seja um eliminador de dados, o CaddyWiper também utiliza a função DsRoleGetPrimaryDomainInformation() para checar se o dispositivo é um controlador. Nesse caso, os dados no controlador do domínio não são excluídos. Esta é provavelmente uma tática utilizada pelos cibercriminosos para manter o acesso dentro das redes comprometidas enquanto rompem outros dispositivos críticos.

Information from the PE header of CaddyWiper suggests it was compiled the same day it was deployed to targeted networks. 6/7 pic.twitter.com/Ay363IRGzX

— ESET research (@ESETresearch) March 14, 2022

Ucrânia na mira dos wipers

Esta é a terceira vez no ano que os pesquisadores da Eset detectam uma amostra inédita de malwares direcionados a organizações na Ucrânia. Na véspera da invasão, a telemetria da empresa achou o HermeticWiper nas redes de várias organizações ucranianas de alto perfil. Também foram verificados um eliminador de dados batizado de IsaacWiper e um worm chamado HermeticWizard. Sobre este último, os cibercriminosos o utilizaram para propagar o HermeticWiper dentro das redes da Ucrânia.

Ainda neste ano, o Whispergate, outro wiper de dados, limpou redes de diversas organizações no país. Identificado pela Microsoft, o malware eliminava arquivos de dados em diretórios selecionados no computador das vítimas em vez de criptografá-los. Na sequência, arquivos com extensões variadas — .docx, .html, .java, entre outros — eram substituídos por 1 MB de caracteres “I” (0xcc em hexadecimal).

Todas essas campanhas fazem parte de uma longa série de ciberataques com malware que vêm atacando a Ucrânia nos últimos oito anos. Neste período, a ex-república da União Soviética vem sendo alvo de ataques amplamente destrutivos, incluindo um ataque provocado pelo NotPetya que penetrou nas redes de várias empresas da Ucrânia em 2017 antes de se propagar para outros países.

“O que marca o uso desse tipo de código malicioso é a viabilidade de que uma empresa ou uma infraestrutura crítica de um país possa ser afetada por um ataque com códigos maliciosos”, diz Gutiérrez Amaya. “É importante tomar medidas de precaução caso essas ameaças tornam-se populares e são usados para fins de extorsão, como já foi visto com a evolução do ransomware.”
Crédito da imagem principal: Solarseven/Shutterstock

Leia também:

Já assistiu aos nossos novos vídeos noYouTube? Inscreva-se no nosso canal!

O post CaddyWiper: novo malware que apaga dados é descoberto na Ucrânia apareceu primeiro em Olhar Digital.

Desenvolvido por Direto na Web