Investigadores de seguridad han descubierto otro malware de limpieza de datos destructivo que se utiliza en ataques cibernéticos contra organizaciones ubicadas en Ucrania, cuando el ataque del dictador ruso Vladimir Putin contra el país entra en su tercera semana.
CaddyWiper es el cuarto borrador de datos hasta ahora relacionado con la guerra en Ucrania, y el tercero que encuentran los analistas de ESET, con sede en Eslovaquia, que informó anteriormente sobre dos nuevos malware, denominados HermeticWiper e IsaacWiper. El primero fue WhisperGate, que se utilizó en ataques contra agencias gubernamentales ucranianas antes de la invasión.
ESET dijo que detectó por primera vez a CaddyWiper a las 9:38 a. m., hora del Reino Unido, el lunes 14 de marzo de 2022. Destruye los datos del usuario y la partición de las unidades conectadas, y hasta ahora se ha visto en varias docenas de sistemas en un número limitado de organizaciones. Los productos ESET lo detectan como Win32/KillDisk.NCX.
Los analistas dijeron que CaddyWiper no parece tener grandes similitudes de codificación con ninguno de sus predecesores, aunque tiene evidencia de que, al igual que HermeticWiper, sus usuarios se habían infiltrado en las redes de sus víctimas mucho antes de implementarlo, aunque su encabezado ejecutable portátil (PE) sugiere se compiló el mismo día que se implementó.
Además, a diferencia de sus predecesores, la muestra de CaddyWiper que analizó ESET carecía de una firma digital.
Nasser Fattah, presidente del comité directivo de América del Norte en el especialista en gestión de riesgos Shared Assessments, comentó: “Como se esperaba, el malware destructivo será el tipo de malware de facto durante el conflicto de Europa del Este porque está diseñado no solo para hacer que las tecnologías específicas no funcionen, pero también irrecuperable.
“El objetivo es destruir la tecnología subyacente que respalda las funciones comerciales críticas. Aquí, el malware destructivo tiene una motivación política, donde la interrupción completa del sistema puede causar un gran daño financiero, así como importantes pérdidas humanas: piense en los sistemas de purificación de agua que dejan de funcionar o en los hospitales que no tienen electricidad”.
Rajiv Pimplaskar, CEO de Dispersive Holdings, especialista en redes privadas virtuales (VPN) reforzadas, agregó: “Un vector clave de ataque para las incursiones de malware es explorar las vulnerabilidades de la red. Las infraestructuras típicas de nube pública y privada facilitan razonablemente que los actores de amenazas sofisticados identifiquen los recursos y los flujos de datos de interés, lo que hace posible interceptarlos a través de un hombre en el medio. [MITM] atacar y realizar varias operaciones, incluida la captura del intercambio secreto compartido.
“Las empresas y los gobiernos deberían buscar un modelo de atribución administrada que oculte los flujos de datos de alto valor en tránsito, así como los puntos finales de los recursos de red subyacentes y potencialmente hostiles, lo que hace que sea prácticamente imposible detectar, y mucho menos interceptar, datos confidenciales”.
Dado que las tácticas, técnicas y procedimientos de ataque cibernético utilizados por los estados nacionales tienen una tendencia predecible a caer en manos de los ciberdelincuentes, Peter Stelzhamer, cofundador de AV-Comparatives, un especialista en comparación de herramientas antivirus con sede en Austria, dijo que era importante tanto para las empresas como para los consumidores protegerse a sí mismos.
Aconsejó a los usuarios que mantuvieran las protecciones del software antivirus actualizadas y activadas; mantener parcheados y actualizados los sistemas operativos, así como las aplicaciones de terceros; y para hacer una copia de seguridad de todos los archivos y software.