El equipo de investigación de ESET descubrió otro malware que destruye datos (wiper) utilizado en ataques contra organizaciones en Ucrania, al cual han llamado CaddyWiper.
Este malware se detectó por primera vez a las 11:38 a. m. hora local del lunes 14 de marzo. El wiper, que destruye los datos de los usuarios y de las unidades conectadas, se detectó en varias docenas de sistemas en un número limitado de organizaciones. Los productos ESET detectan este malware como Win32/KillDisk.NCX.
CaddyWiper no presenta similitudes en el código importantes en comparación con HermeticWiper o IsaacWiper, los otros dos nuevos wipers de datos que han afectado a organizaciones en Ucrania desde el 23 de febrero. Sin embargo, al igual que con HermeticWiper, hay evidencia que sugiere que los operadores detrás de CaddyWiper se infiltraron en la red de las victimas antes de liberar el malware.
#BREAKING #ESETresearch warns about the discovery of a 3rd destructive wiper deployed in Ukraine 🇺🇦. We first observed this new malware we call #CaddyWiper today around 9h38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET research (@ESETresearch) March 14, 2022
En las últimas tres semanas, los investigadores de ESET detectan por tercera vez una muestra previamente desconocida de malware que borra datos apuntando a organizaciones en Ucrania.
En la víspera de la invasión de Rusia a Ucrania, la telemetría de ESET detectó a HermeticWiper en las redes de varias organizaciones ucranianas de alto perfil. Estas campañas también desplegaron a HermeticWizard, un gusano personalizado utilizado para propagar HermeticWiper dentro de las redes locales, y a HermeticRansom, un ransomware utilizado como señuelo. Al día siguiente, comenzó un segundo ataque destructivo contra una red gubernamental ucraniana, esta vez desplegando IsaacWiper.
Ucrania en la mira
En enero de este año, otro wiper de datos, llamado WhisperGate, limpió las redes de múltiples organizaciones en Ucrania.
Estas campañas son solo las últimas de una larga serie de ciberataques que han alcanzado objetivos de alto perfil de Ucrania durante los últimos ocho años. Desde 2014 a esta parte Ucrania ha sido el blanco receptor de una serie de ataques cibernéticos altamente disruptivos, incluido el ataque NotPetya que atravesó las redes de varias empresas ucranianas en junio de 2017 antes extenderse a otros países.