Analistas de cibersegurança descobriram recentemente um novo malware do tipo wiper (destruidor de dados) usado em ataques contra organizações na Ucrânia. Batizado de CaddyWiper, o malware apaga dados de usuários e informações de unidades conectadas. Ele foi verificado, segundo os analistas, “em dezenas de sistemas em um número limitado de organizações”.
Desenhado para limpar dados no domínio do Windows — ele é detectado como Win32/KillDisk.ncx —, o CaddyWiper não possui semelhanças significativas com o HermeticWiper ou o IsaacWiper, os outros dois malwares tipo wiper que têm afetado as organizações ucranianas desde o início da guerra com a Rússia. De acordo com os analistas, o malware, cuja origem é desconhecida, foi descarregado no mesmo dia em que foi compilado.
“Pelas informações disponíveis até o momento, não identificamos nenhuma conexão tangível com um agente de ameaça conhecido; portanto, não poderíamos fazer uma atribuição”, “Vale ressaltar que não é a primeira vez que vemos ataques usando código malicioso na Ucrânia, em 2016 encontramos ameaças como BlackEnergy ou Industryroyer em 2017, que visavam infraestrutura crítica como abastecimento de água, eletricidade e gás.”
Embora seja um eliminador de dados, o CaddyWiper também utiliza a função DsRoleGetPrimaryDomainInformation() para checar se o dispositivo é um controlador. Nesse caso, os dados no controla
dor do domínio não são excluídos. Esta é provavelmente uma tática utilizada pelos cibercriminosos para manter o acesso dentro das redes comprometidas enquanto rompem outros dispositivos críticos.
Esta é a terceira vez no ano que esses analistas detectam uma amostra inédita de malwares direcionados a organizações na Ucrânia. Na véspera da invasão, a telemetria da empresa achou o HermeticWiper nas redes de várias organizações ucranianas de alto perfil. Também foram verificados um eliminador de dados batizado de IsaacWiper e um worm chamado HermeticWizard. Sobre este último, os cibercriminosos o utilizaram para propagar o HermeticWiper dentro das redes da Ucrânia. Ainda neste ano, o Whispergate, outro wiper de dados, limpou redes de diversas organizações no país. Identificado pela Microsoft, o malware eliminava arquivos de dados em diretórios selecionados no computador das vítimas em vez de criptografá-los. Na sequência,
arquivos com extensões variadas — .docx, .html, .java, entre outros — eram substituídos por 1 MB de caracteres “I” (0xcc em hexadecimal).
Todas essas campanhas fazem parte de uma longa série de ciberataques com malware que vêm atacando a Ucrânia nos últimos oito anos. Neste período, a ex-república da União Soviética vem sendo alvo de ataques amplamente destrutivos, incluindo um ataque provocado pelo NotPetya que penetrou nas redes de várias empresas da Ucrânia em 2017 antes de se propagar para outros países.
“O que marca o uso desse tipo de código malicioso é a viabilidade de que uma empresa ou uma infraestrutura crítica de um país possa ser afetada por um ataque com códigos maliciosos”, diz Gutiérrez Amaya. “É importante tomar medidas de precaução caso essas ameaças tornam-se populares e são usados para fins de extorsão, como já foi visto com a evolução do ransomware.” Fonte : www.olhardigital.com.br