CaddyWiper, el último de una serie de ciberataques destructivos contra Ucrania

Recomendados:  El nuevo paradigma de seguridad para entornos SDWAN Webinar Claves para maximizar la seguridad en las aplicaciones y servicios modernos Leer Lee IT Digital Security (Marzo de 2022) para PC y Mac Leer

Investigadores de ESET han descubierto un nuevo malware destructivo dirigido a empresas y organizaciones radicadas en Ucrania, que ha sido bautizado como CaddyWiper. Se trataría del tercer caso de malware de estas características desde el inicio de la invasión rusa a finales de febrero, después del hallazgo de HermeticWiper e IsaacWiper.

CaddyWiper es un malware que destruye la información y la información de las particiones de los discos conectados al sistema infectado. Esta amenaza, que es detectada de forma genérica por las soluciones de seguridad de ESET como Win32/KillDisk.NCX, habría sido observada en docenas de sistemas pertenecientes a un número limitado de organizaciones.

Como dato curioso, CaddyWiper evita destruir datos en los controladores de dominio. Es posible que se trate de una estrategia de los atacantes para seguir manteniendo el acceso a la organización atacada mientras consiguen que esta no pueda seguir con su actividad.

A pesar de tratarse de un malware destructor de ficheros, CaddyWiper no comparte código con las dos amenazas detectadas con anterioridad, HermeticWiper e IsaacWiper. Sin embargo, los investigadores han encontrado evidencias de que los atacantes detrás de esta amenaza se habrían infiltrado en las redes de los objetivos antes de desplegar el malware en los sistemas usando los objetos de política de grupo (GPO).

Si bien estos ciberataques parecen centrados en afectar específicamente a Ucrania, ESET no descarta que se expandan a otros países, ya sea de forma intencionada o como daño colateral. El malware NotPetya fue un claro ejemplo de ello, ya que también tuvo impacto en otros países como Alemania, Polonia o Serbia.