Este artículo elaboramos una recopilación de los ataques disruptivos en los que se utilizó malware del tipo wiper en Ucrania desde comienzos de 2022, poco antes del comienzo de la invasión militar rusa. La mayoría de los ataques los atribuimos con gran confianza al grupo Sandworm. Esta recopilación incluye ataques detectados por ESET, así como también algunos reportados por otras fuentes acreditadas como el CERT-UA, Microsoft y SentinelOne.

ESET Research Destructive malware targeting Ukrainian organizations IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine AcidRain | A Modem Wiper Rains Down on Europe IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine An overview of Russia’s cyberattack activity in Ukraine An overview of Russia’s cyberattack activity in Ukraine ESET Research CERT-UA An overview of Russia’s cyberattack activity in Ukraine An overview of Russia’s cyberattack activity in Ukraine An overview of Russia’s cyberattack activity in Ukraine ESET APT ACTIVITY REPORT T2 2022 Industroyer2: Industroyer reloaded CERT-UA ESET Research ESET Research ESET APT ACTIVITY REPORT T2 2022 ESET APT ACTIVITY REPORT T3 2022 ESET APT ACTIVITY REPORT T3 2022 ESET APT ACTIVITY REPORT T3 2022 New “Prestige” ransomware impacts organizations in Ukraine and Poland ESET APT ACTIVITY REPORT T3 2022 CERT-UA RansomBoggs: New ransomware targeting Ukraine CERT-UA SwiftSlicer: New destructive wiper malware strikes Ukraine

Nota: Las fechas aproximadas (~) se utilizan cuando la fecha exacta en que se desplegó el ataque es incierta o desconocida. En algunos casos, se utiliza la fecha de descubrimiento o (en el caso de descubrimientos que no son de ESET) la fecha de publicación del ataque.

Previo a la invasión

Entre las numerosas oleadas de ataques de DDoS que apuntaron a instituciones ucranianas en ese momento, el malware WhisperGate apareció el 14 de enero de 2022. Este malware del tipo wiper se hizo pasar por un  ransomware, al igual que lo hizo NotPetya en junio de 2017, una táctica que también veríamos en ataques posteriores.

El 23 de febrero de 2022, una campaña destructiva que utilizó HermeticWiper apuntó a cientos de sistemas en al menos cinco organizaciones ucranianas. Este malware que destruye datos fue detectado por primera vez justo antes de las 17:00 hora local (15:00 UTC). Durante unas pocas horas después de la invasión de Ucrania por parte de las fuerzas de la Federación Rusa el ciberataque continuó. Junto con HermeticWiper, el gusano informático HermeticWizard y el falso ransomware HermeticRansom también se desplegaron en esta campaña.

Después de la invasión

El 24 de febrero de 2022, con el fin del invierno ucraniano, comenzó un segundo ataque destructivo contra una red gubernamental ucraniana en el cual se utilizó un wiper que hemos llamado IsaacWiper.

Por otra parte, el día de la invasión también se registró la campaña de wipers AcidRain, la cual se centró en los módems Viasat KA-SAT y se extendió fuera de Ucrania.

Otro wiper revelado inicialmente por Microsoft es DesertBlade, supuestamente desplegado el 1 de marzo de 2022 y luego nuevamente alrededor del 17 de marzo de 2022. El mismo reporte de Microsoft también menciona otros ataques que utilizan wipers de la campaña Hermetic, como son HermeticWiper (que Microsoft lo llama FoxBlade) alrededor 10 de marzo de 2022, HermeticRansom (que Microsoft lo llama SonicVote) alrededor del 17 de marzo de 2022, y un ataque alrededor del 24 de marzo de 2022 utilizando HermeticWiper y HermeticRansom.

El CERT-UA (Equipo de respuesta ante emergencias informáticas de Ucrania) informó sobre el hallazgo del wiper DoubleZero el 17 de marzo de 2022.

El 14 de marzo de 2022, los investigadores de ESET detectaron un ataque con CaddyWiper que tenía como objetivo un banco ucraniano.

El 1 de abril de 2022 detectamos nuevamente a CaddyWiper, esta vez siendo cargado por el loader cargador ArguePatch, que generalmente es un binario legítimo modificado que se usa para cargar el shellcode desde un archivo externo. Detectamos un escenario similar el 16 de mayo de 2022, donde ArguePatch tomó la forma de un binario de ESET modificado.

También detectamos el tándem ArguePatch-CaddyWiper el 8 de abril de 2022, en lo que tal vez fue uno de los ataques más ambiciosos de Sandworm desde el comienzo de la invasión, ya que el objetivo era interrumpir el flujo de electricidad utilizando Industroyer2. Además de ArguePatch y CaddyWiper, en este incidente también descubrimos el uso de wipers para plataformas que no son de Windows: ORCSHRED, SOLOSHRED y AWFULSHRED. Para obtener más información, consulte la notificación del CERT-UA y nuestra publicación en WeLiveSecurity.

Un verano tranquilo

Durante los meses del verano europeo fueron menos los hallazgos de nuevas campañas de wipers apuntando a Ucrania en comparación con los meses anteriores, pero se produjeron varios ataques destacados.

Hemos trabajado junto con el CERT-UA en casos donde se desplegó ArguePatch (y CaddyWiper) contra instituciones ucranianas. El primer incidente tuvo lugar en la semana del 20 de junio de 2022 y otro el 23 de junio de 2022.

Ola de ataques durante el otoño

Con la baja de las temperaturas previo al invierno, el 3 de octubre de 2022 detectamos una nueva versión de CaddyWiper desplegada en Ucrania. A diferencia de las variantes utilizadas anteriormente, esta vez CaddyWiper se compiló como un binario de Windows x64.

El 5 de octubre de 2022 identificamos una nueva versión de HermeticWiper fue subida a VirusTotal. La funcionalidad de esta muestra de HermeticWiper era la misma que en las instancias anteriores, con algunos cambios menores.

El 11 de octubre de 2022 detectamos que se desplegó el ransomware Prestige contra empresas de logística en Ucrania y Polonia. Esta campaña también fue reportada por Microsoft.

El mismo día también identificamos un wiper previamente desconocido al que llamamos NikoWiper. Este wiper se utilizó contra una empresa del sector energético en Ucrania. NikoWiper se basa en la utilidad de línea de comandos SDelete de Microsoft para eliminar archivos de forma segura.

El 11 de noviembre de 2022, CERT-UA publicó una publicación de blog sobre un ataque con el falso ransomware Somia.

El 21 de noviembre de 2022 detectamos en Ucrania un nuevo ransomware escrito en .NET al que llamamos RansomBoggs. El ransomware tiene múltiples referencias a la película Monsters, Inc. Observamos que los operadores del malware usaron scripts POWERGAP para desplegar este ransomware.

Enero de 2023

En 2023 los ataques disruptivos contra las instituciones ucranianas continúan.

El 1 de enero de 2023 detectamos la ejecución de la utilidad SDelete en un distribuidor de software ucraniano.

Otro ataque con múltiples wipers, esta vez contra una agencia de noticias ucraniana, tuvo lugar el 17 de enero de 2023, según el CERT-UA. En este ataque se detectaron los siguientes wipers: CaddyWiper, ZeroWipe, SDelete, AwfulShred y BidSwipe. BidSwipe es digno de mención, ya que es un wiper para el sistema operativo FreeBSD.

El 25 de enero de 2023 detectamos un nuevo wiper, escrito en Go, al que llamamos SwiftSlicer, que se estaba desplegando contra entidades gubernamentales locales de Ucrania.

En casi todos los casos mencionados anteriormente, Sandworm usó la Política de Active Directory Group (T1484.001) para implementar sus wipers y ransomware, específicamente usando el script POWERGAP.

Conclusion

El uso de malware disruptivo como son los wipers —e incluso wipers disfrazados de ransomware— por parte de grupos APT rusos —especialmente Sandworm— contra organizaciones ucranianas no es nuevo. Desde aproximadamente 2014 que el grupo de APT BlackEnergy utilizó plugins disruptivos. El wiper KillDisk fue un denominador común en los ataques de Sandworm en el pasao, mientras que el subgrupo Telebots ha lanzado numerosos ataques de wipers, siendo el más infame NotPetya.

Sin embargo, la intensificación de las campañas en las que se utiliza malware del tipo wiper desde la invasión militar en febrero de 2022 no tiene precedentes. Como nota positiva, muchos de los ataques han sido detectados y frustrados. Sin embargo, continuamos monitoreando atentamente la situación, ya que esperamos que los ataques continúen.

Por cualquier consulta sobre alguna investigación publicada en WeLiveSecurity, escríbanos a threatintel@eset.com.

Indicadores de Compromiso

Archivos

SHA-1 Filename ESET detection name Description
189166D382C73C242BA45889D57980548D4BA37E stage1.exe Win32/KillMBR.NGI WhisperGate stage 1 MBR overwriter.
A67205DC84EC29EB71BB259B19C1A1783865C0FC N/A Win32/KillFiles.NKU WhisperGate stage 2 final payload.
912342F1C840A42F6B74132F8A7C4FFE7D40FB77 com.exe Win32/KillDisk.NCV HermeticWiper.
61B25D11392172E587D8DA3045812A66C3385451 conhosts.exe Win32/KillDisk.NCV HermeticWiper.
F32D791EC9E6385A91B45942C230F52AFF1626DF cc2.exe WinGo/Filecoder.BK HermeticRansom.
86906B140B019FDEDAABA73948D0C8F96A6B1B42 ukrop Linux/AcidRain.A AcidRain.
AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 cl64.dll Win32/KillMBR.NHP IsaacWiper.
736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 cld.dll Win32/KillMBR.NHQ IsaacWiper.
E9B96E9B86FAD28D950CA428879168E0894D854F clean.exe Win32/KillMBR.NHP IsaacWiper.
5C01947A49280CE98FB39D0B72311B47C47BC5CC clean.exe Win32/KillMBR.NHP IsaacWiper.
59F5B9AECE751E58BE16E7F7A7A6D8C044F583BE cll.exe Win32/KillMBR.NHQ IsaacWiper.
172FBE91867C1D6B7F3E2899CEA69113BB1F21A0 notes.exe WinGo/KillFiles.A DesertBlade wiper.
46671348C1A61B3A8BFBA025E64E5549B7FDFA98 N/A Win32/KillDisk.NCV HermeticWiper.
DB0DA0D92D90657EA91C02336E0605E96DB92C05 clrs.exe Win32/KillDisk.NCV HermeticWiper.
98B3FB74B3E8B3F9B05A82473551C5A77B576D54 caddy.exe Win32/KillDisk.NCX CaddyWiper.
320116162D78AFB8E00FD972591479A899D3DFEE cpcrs.exe MSIL/KillFiles.CK DoubleZero wiper.
43B3D5FFAE55116C68C504339C5D953CA25C0E3F csrss.exe MSIL/KillFiles.CK DoubleZero wiper.
48F54A1D93C912ADF36C79BB56018DEFF190A35C ukcphone.exe Win32/Agent.AECG ArguePatch shellcode loader.
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16 peremoga.exe Win32/Agent.AECG ArguePatch shellcode loader.
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7 pa1.pay Win32/KillDisk.NDA Encrypted CaddyWiper shellcode.
3CDBC19BC4F12D8D00B81380F7A2504D08074C15 wobf.sh Linux/KillFiles.C AwfulShred Linux wiper.
8FC7646FA14667D07E3110FE754F61A78CFDE6BC wsol.sh Linux/KillFiles.B SoloShred Solaris wipe.
796362BD0304E305AD120576B6A8FB6721108752 eset_ssl_filtered_cert_importer.exe Win32/Agent.AEGY ArguePatch shellcode loader.
8F3830CB2B93C21818FDBFCF526A027601277F9B spn.exe Win32/Agent.AEKA ArguePatch shellcode loader.
3D5C2E1B792F690FBCF05441DF179A3A48888618 mslrss.exe Win32/Agent.AEKA ArguePatch shellcode loader.
EB437FF79E639742EE36E89F30C6A21072B86CBC caclcly.exe Win64/Agent.BQZ CaddyWiper x64.
57E3D0108636F6EE56C801F128306AD43AF60EE6 cmrss.exe Win32/KillDisk.NCV HermeticWiper.
986BA7A5714AD5B0DE0D040D1C066389BCB81A67 open.exe Win32/Filecoder.Prestige.A Prestige filecoder.
C7186DEF5E9C3E1B01BF506F538F5D6185377A9C sysate32.exe Win32/Filecoder.Prestige.A Prestige filecoder.
59621F5EFC311FDFE66683266CE9CB17F8227B23 mstc_niko.exe Win32/DelAll.NAH NikoWiper.
84E6A010B372D845C723A8B8D7DDD8D79675DCE5 Sullivan.1.v2.0.exe MSIL/Filecoder.RansomBoggs.A RansomBoggs filecoder.
F4D1C047923B9D10031BB709AABF1A250AB0AAA2 Sullivan.1.v4.5.exe MSIL/Filecoder.RansomBoggs.A RansomBoggs filecoder.
9A3D63C6E127243B3036BC0E242789EC1D2AB171 Sullivan.2.v2.exe MSIL/Filecoder.RansomBoggs.A RansomBoggs filecoder.
BB187EB125070176BD7EC6C57CFF166708DD60E1 Sullivan.2.v4.exe MSIL/Filecoder.RansomBoggs.A RansomBoggs filecoder.
3D593A39FA20FED851B9BEFB4FF2D391B43BDF08 Sullivan.v2.5.exe MSIL/Filecoder.RansomBoggs.A RansomBoggs filecoder.
021308C361C8DE7C38EF135BC3B53439EB4DA0B4 Sullivan.v4.5.exe MSIL/Filecoder.RansomBoggs.A RansomBoggs filecoder.
7346E2E29FADDD63AE5C610C07ACAB46B2B1B176 help.exe WinGo/KillFiles.C SwiftSlicer wiper.