El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) encontró un cóctel de cinco cepas de malware de borrado de datos diferentes desplegadas en la purple de la agencia nacional de noticias del país (Ukrinform) el 17 de enero.
“Al 27 de enero de 2023 se detectaron 5 muestras de programas maliciosos (scripts) cuya funcionalidad está dirigida a vulnerar la integridad y disponibilidad de la información (escritura de archivos/discos con cero bytes/datos arbitrarios y su posterior borrado), “CERT-UA dicho (traducción automática del ucraniano).
La lista de malware destructivo implementado en el ataque contra Ukrinform incluye CaddyWiper (Home windows), ZeroWipe (Home windows), SDelete (Home windows), AwfulShred (Linux) y BidSwipe (FreeBSD).
Dos de las cinco cepas, ZeroWipe y BidSwipe, son malware nuevo o los ucranianos las rastrean con nombres diferentes a los que usan los proveedores de antimalware.
Los atacantes lanzaron el malware CaddyWiper utilizando una política de grupo de Home windows (GPO), lo que demuestra que habían violado la purple del objetivo de antemano.
Como descubrió CERT-UA durante la investigación, los actores de amenazas obtuvieron acceso remoto a la purple de Ukrinform alrededor del 7 de diciembre y esperaron más de un mes para desatar el cóctel de malware.
Sin embargo, su intento de borrar todos los datos de los sistemas de la agencia de noticias fracasó. Los limpiadores solo lograron destruir archivos en “varios sistemas de almacenamiento de datos”, lo que no afectó las operaciones de Ukrinform.
“El CERT-UA enfatiza que el ciberataque fue solo un éxito parcial, específicamente con respecto a un número limitado de sistemas de almacenamiento de datos”, el Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP) de Ucrania agregado.
Ciberataque vinculado a piratas informáticos militares rusos Sandworm
CERT-UA vinculó el ataque al grupo de amenazas Sandworm la semana pasada, un equipo de piratería que forma parte de la Unidad Militar Rusa 74455 de la Dirección Principal de Inteligencia (GRU).
Sandworm también ha utilizado el limpiador de datos CaddyWiper en otro ataque fallido de abril dirigido a un gran proveedor de energía ucraniano.
En ese ataque, los piratas informáticos rusos utilizaron una táctica related, implementando CaddyWiper para borrar los rastros dejados por el malware Industroyer ICS, junto con otros tres limpiadores diseñados para sistemas Linux y Solaris, y rastreados como Orcshred, Soloshred y Awfulshred.
Desde que Rusia invadió Ucrania en febrero de 2022, se han implementado múltiples cepas de malware de eliminación de datos en las redes de objetivos ucranianos además de CaddyWiper.
Esta lista también incluye los gustos de Doble cero, Limpiaparabrisas hermético, isaacwiper, SusurroMatar, SusurroPuertay Lluvia ácida.
Microsoft y la empresa de software program eslovaca ESET también han vinculado ransomware reciente ataques apuntando a Ucrania al grupo de hackers Sandworm.
