Os pesquisadores da ESET descobriram outro malware que apaga dados (wiper) usado em ataques contra organizações na Ucrânia.
Batizado como CaddyWiper pelos analistas da ESET, o malware foi detectado pela primeira vez às 11h38, horário local (9h38 UTC), na última segunda-feira (14). O wiper, que apaga dados do usuário e informações de unidades conectadas, foi detectado em várias dezenas de sistemas em um número limitado de organizações. Ele é detectado pelos produtos ESET como Win32/KillDisk.NCX.
O CaddyWiper não tem semelhanças significativas no código em comparação com o HermeticWiper ou IsaacWiper, os outros dois novos wipers de dados que têm afetado organizações na Ucrânia desde 23 de fevereiro deste ano.
Entretanto, assim como ocorreu no caso do HermeticWiper, há evidências que sugerem que os cibercriminosos por trás do CaddyWiper se infiltraram na rede das vítimas antes de liberar o malware.
Um novo wiper a cada semana
Esta é a terceira vez em poucas semanas que os pesquisadores da ESET detectam uma amostra previamente desconhecida de malwares que apagam dados e que são direcionados a organizações na Ucrânia.
Na véspera da invasão russa à Ucrânia, a telemetria da ESET detectou o HermeticWiper nas redes de várias organizações ucranianas de alto perfil. Estas campanhas também alavancaram o HermeticWizard, um worm personalizado usado para propagar o HermeticWiper dentro de redes locais, e o HermeticRansom, um ransomware usado como isca.
No dia seguinte, começou um segundo ataque destrutivo contra uma rede do governo ucraniano, desta vez com o intuito de implantar o IsaacWiper.
A Ucrânia na mira
Em janeiro deste ano, outro wiper de dados, chamado WhisperGate, limpou as redes de diversas organizações na Ucrânia.
Todas essas campanhas são apenas as últimas de uma longa série de ciberataques que atingiram alvos ucranianos de alto nível nos últimos oito anos. Assim como os pesquisadores da ESET explicaram em um webinário (em inglês) realizado recentemente, desde 2014 a Ucrânia vem sendo alvo de uma série de ciberataques altamente destrutivos, incluindo o ataque provocado pelo NotPetya que penetrou nas redes de várias empresas ucranianas em junho de 2017 antes de se propagar para outros países.
A equipe ESET Research disponibiliza um relatório de inteligência de APT privado e uma fonte de dados. Para qualquer dúvida sobre este novo serviço ou pesquisa publicada no WeLiveSecurity, por favor, entre em contato conosco por meio do e-mail threatintel@eset.com.