Novo Malware Destrutivo Usado em Ataques Cibernéticos na Ucrânia
À medida em que a guerra na Ucrânia continua, com relatos da mais recente devastação na capital Kiev e um toque de recolher imposto pelo prefeito local, a batalha continua no ciberespaço. Os pesquisadores de segurança relataram ontem que uma nova variedade de malware destrutivo foi detectada em várias redes ucranianas.
O novo malware funciona como um limpador, não tentando exfiltrar dados ou criptografá-los como um ransomware. Em vez disso, as ferramentas de limpeza ameaçadoras simplesmente excluem tudo o que podem e limpam o espaço para evitar a recuperação de dados.
O CaddyWiper Exclui Arquivos, Partições
A ferramenta recém-descoberta foi apelidada de CaddyWiper e detalhada em um post pelos pesquisadores de malwar no Twitter. Este é o terceiro limpador ameaçador que foi descoberto em estado selvagem na Ucrânia desde o início do conflito militar no país. Curiosamente, descobriu-se que a carga útil do CaddyWiper era nova e compilada no mesmo dia em que foi usada para atacar sistemas na Ucrânia.
Outro detalhe interessante sobre o malware recém-lançado é que, embora destrua dados e exclua partições, não interfere nos controladores de domínio. Os controladores de domínio são as partes de uma rede responsáveis por lidar com solicitações de autenticação e acessar os recursos de domínio em uma determinada rede. Isso pode implicar que a ferramenta destina-se a fornecer a seus operadores acesso estendido aos sistemas comprometidos, juntamente com a tarefa principal de limpar os dados.
O CaddyWiper Se Espalha por Redes Previamente Comprometidas
Descobriu-se que a ferramenta abusada para espalhar o CaddyWiper eram os Objetos de Diretiva de Grupo da Microsoft ou GPOs. No entanto, em pelo menos uma instância de uma rede comprometida, seu GPO padrão foi usado para propagar o malware. Isso, por si só, sugere que qualquer terceiro que esteja operando o CaddyWiper, já obteve acesso não autorizado aos serviços do Active Directory da rede.
As duas ferramentas de ameaça anteriores usadas nas últimas semanas em ataques cibernéticos contra alvos ucranianos foram chamadas HermeticWiper e IsaacWiper. Ambas as ferramentas tinham recursos destrutivos, mas não compartilhavam semelhanças significativas com o CaddyWiper mais recente quando se trata de código.
Juntamente com os relatos da ferramenta CaddyWiper sendo usada na Ucrânia, outro ataque cibernético ganhou as manchetes, desta vez visando a petrolífera russa Rosneft. Uma subsidiária alemã da Rosneft teria sido atacada pelo coletivo internacional de hacktivistas conhecido como Anonymous. Os relatórios afirmam que 20 TB de dados foram exfiltrados no ataque. As autoridades alemãs estão investigando o ataque. As instalações da Rosneft em Deutschland não foram afetadas.