CaddyWiper se dió a conocer por ser un malware de destrucción de datos, mismo que apenas ha sido descubierto dirigido en ataques a organizaciones ucranianas, y ha logrado la eliminación total de los datos de aquellas redes que fueron comprometidas.
ESET Research Labs explicó que está nueva clase de malware borra todos los datos de los usuarios, además de todas las particiones de las unidades conectadas.
Aunque se encuentra diseñado para eliminar todos los datos en aquellos dominios de Windows en los cuales infecta, se dió a conocer que CaddyWiper hace uso de la funciónDsRoleGetPrimaryDomainInformation().
Todo esto con la intención de verificar si algún dispositivo es un controlador de dominio, en el caso de ser así, todos los datos de controlador de dominio no procederán a eliminarse.
Es muy posible que sea una táctica usada por los mismos atacantes para mantener su acceso en las redes atacadas, mientras estos siguen en sus operaciones para borrar otros dispositivos.
Luego de haber analizado a detalle el encabezado PE de una muestra del malware CaddyWiper, de una red ucraniana no revelada; fue descubierto que este malware fue usado en ataques, justamente el mismo día que fue creado.
CaddyWiper es el cuarto borrador de datos usado en Ucrania este año
CaddyWiper vendría siendo el cuarto malware para limpieza de datos usado en ataques a Ucrania este 2022, además que los analistas de ESET Research Labs descubrieron anteriormente dos, y Microsoft por su lugar un tercero.
Días antes de la invasión que llevó Rusia hacia su país vecino Ucrania, los investigadores pertenecientes a ESET lograron detectar borrador de datos, mismo que ahora es conocido cómo HermeticWiper.
Además de esto, también se supo de un limpiador de datos al que nombraron IsaacWiper y un nuevo gusano conocido cómo HermeticWizar, todos estos fueron usados por los atacantes para expandir las cargas útiles del limpiador HermeticWizar.
Cabe mencionar que actualmente Microsoft descubrió un nuevo limpiador rastreado cómo WhisperGat, mismo que actualmente es usado contra Ucrania para el borrado de datos, desde principios del mes de enero.
Todos y cada uno de estos ataques han sigo identificados cómo parte de una ola masiva de guerra cibernética, así mismo fue anunciado por el el Servicio de Seguridad de Ucrania (SSU).
Lo curioso de toda esta situación en cuánto a los ataques, es que se dieron a conocer unos días antes de iniciar todo este conflicto entre Rusia y Ucrania, siendo CaddyWiper el más peligroso de todos.
¿Qué crees tú al respecto de toda esta situación? No hay duda alguna que CaddyWiper forma parte del ataque de Rusia contra Ucrania.
Comentarios!
Comentarios