Nuevo malware destructivo utilizado en ataques cibernéticos en Ucrania
Mientras continúa la guerra en Ucrania, con informes de la última devastación en la ciudad capital de Kiev y un toque de queda impuesto por el alcalde local, la batalla continúa en el ciberespacio también. Los investigadores de seguridad informaron ayer que se detectó una nueva variedad de malware destructivo en varias redes ucranianas.
El nuevo malware funciona como un limpiador, no intenta filtrar datos ni cifrarlos como lo hace el ransomware. En cambio, las herramientas de limpieza amenazantes simplemente eliminan todo lo que pueden y limpian el espacio para evitar la recuperación de datos.
CaddyWiper elimina archivos, particiones
La herramienta recién descubierta se denominó CaddyWiper y los investigadores de malware la detallaron en una publicación de Twitter. Este es el tercer limpiaparabrisas amenazante que se descubre en la naturaleza en Ucrania desde el comienzo del conflicto militar en el país. Curiosamente, resultó que la carga útil de CaddyWiper era completamente nueva y se compiló el mismo día en que se usó para atacar sistemas en Ucrania.
Otro detalle interesante sobre el malware lanzado recientemente es que, si bien destruye datos y elimina particiones, no interfiere con los controladores de dominio. Los controladores de dominio son las partes de una red que se encargan de gestionar las solicitudes de autenticación y acceder a los recursos del dominio en una red determinada. Esto podría implicar que la herramienta está destinada a brindar a sus operadores acceso extendido a los sistemas comprometidos, junto con la tarea principal de borrar datos.
CaddyWiper se propaga a redes previamente comprometidas
Se descubrió que la herramienta abusada para difundir CaddyWiper era Objetos de directiva de grupo de Microsoft o GPO. Sin embargo, en al menos una instancia de una red comprometida, su GPO predeterminado se usó para propagar el malware. Esto, en sí mismo, sugiere que cualquier tercero que esté operando CaddyWiper, ya obtuvo acceso no autorizado a los servicios de Active Directory de la red.
Las dos herramientas amenazantes anteriores utilizadas en las últimas semanas en ataques cibernéticos contra objetivos ucranianos se llamaban HermeticWiper e IsaacWiper. Ambas herramientas tenían capacidades destructivas pero no compartían similitudes significativas con el último CaddyWiper en lo que respecta al código.
Junto con los informes sobre el uso de la herramienta CaddyWiper en Ucrania, otro ciberataque fue noticia, esta vez dirigido a la compañía petrolera rusa Rosneft. Según los informes, una subsidiaria alemana de Rosneft fue atacada por el colectivo internacional de hacktivistas conocido como Anonymous. Los informes indican que se extrajeron 20 TB de datos en el ataque. Las autoridades alemanas están investigando el ataque. Las instalaciones de Rosneft Deutschland no se han visto afectadas.