Investigadores de ESET han descubierto el tercer malware enfocado a destruir ficheros dirigido a empresas y organizaciones en Ucrania. Este sería el tercer caso de un malware de estas características desde el inicio de la invasión rusa a finales de febrero, siendo HermeticWiper la primera amenaza de este tipo descubierta en este conflicto e IsaacWiper la segunda, descubierta pocos días después.
El tercero en discordia
Este nuevo malware ha sido nombrado como CaddyWiper por los investigadores de ESET y fue detectado inicialmente a las 11:38 de la mañana, según la hora local, el pasado lunes 14 de marzo. Como sucede con las amenazas similares detectadas anteriormente, estaríamos ante un malware que destruye la información y la información de las particiones de los discos conectados al sistema infectado.
Esta amenaza, que es detectada de forma genérica por las soluciones de seguridad de ESET como Win32/KillDisk.NCX, habría sido observada en docenas de sistemas pertenecientes a un número limitado de organizaciones. Gracias a la telemetría de la que ESET aún dispone en Ucrania, es posible detectar este tipo de amenazas a pesar de las duras condiciones en las que tienen que trabajar las empresas y organizaciones que todavía siguen activas en el país.
A pesar de tratarse de un malware destructor de ficheros, CaddyWiper no comparte código con las dos amenazas detectadas con anterioridad, HermeticWiper e IsaacWiper. Sin embargo, los investigadores han encontrado evidencias de que los atacantes detrás de esta amenaza se habrían infiltrado en las redes de los objetivos antes de desplegar el malware en los sistemas usando los objetos de política de grupo (GPO por sus siglas en inglés).
Como dato curioso descubierto por los investigadores de ESET, CaddyWiper evita destruir datos en los controladores de dominio. Es posible que se trate de una estrategia de los atacantes para seguir manteniendo el acceso a la organización atacada mientras consiguen que esta no pueda seguir con su actividad. Analizando la cabecera del ejecutable del malware se ha descubierto que habría sido compilado el mismo día que fue lanzado contra las redes de las organizaciones objetivo.
Ucrania en el punto de mira
Viendo la situación actual en Ucrania, no es difícil entender los motivos para lanzar este tipo de ataques contra sus empresas y organizaciones, y aunque no se pueden realizar atribuciones con total garantía, es probable que este tipo de ataques hayan sido lanzados directamente o por alguien relacionado con el principal sospechoso.
El que se hayan detectado tres ataques similares durante las últimas tres semanas es algo sin precedentes en la historia relacionada con los ciberataques en Ucrania que, desde ESET, se vienen analizando desde hace años. Caddy Wiper, tan solo sería el último de una serie de ciberataques que se han dedicado a atacar a objetivos de todo tipo durante los últimos ocho años, incluyendo ataques a centrales de distribución eléctrica en 2015 (BlackEnergy) y 2016 (Industroyer) o al conocido incidente provocado por NotPetya en 2017.
Si bien estos ciberataques parecen centrados en afectar específicamente a Ucrania, no debemos descartar de que se expandan a otros países, ya sea de forma intencionada o como daño colateral. El malware NotPetya fue un claro ejemplo de ello, ya que también tuvo impacto en otros países como Alemania, Polonia o Serbia.
Conclusión
Gracias a la labor de los investigadores de amenazas y la telemetría que ESET conserva en Ucrania, podemos tener visibilidad de estos ciberataques y de cómo se está intentando afectar al funcionamiento de empresas y organizaciones, más allá de los medios convencionales empleados en una guerra cuyos resultados, lamentablemente, observamos cada día.