Após o início do conflito Ucrânia x Rússia já quase para completar um mês, pesquisadores da ESET, empresa de cibersegurança, descobriram mais um malware que apaga dados (wiper) usado em ataques contra organizações ucranianas. A ameaça passou a ser chamada de CaddyWiper pelos analistas.
O CaddyWiper foi detectado pela primeira vez na última segunda-feira (14) de março. O wiper, que apaga dados do usuário e informações de unidades conectadas, foi encontrado em dezenas de sistemas em um número limitado de organizações, com o nome de arquivo Win32/KillDisk.NCX.
A ESET destacou que o CaddyWiper não tem semelhanças no código quando comparado com o HermeticWiper ou IsaacWiper, no caso outros wipers de dados que têm atacado continuamente as organizações na Ucrânia desde 23 de fevereiro deste ano.
Não obstante, assim como ocorreu no caso do HermeticWiper, há evidências que sugerem que os cibercriminosos por trás do CaddyWiper se infiltraram na rede das vítimas antes de liberar o malware.
Desde começo do conflito entre Rússia e Ucrânia é a terceira ameaça detectada
O CaddyWiper é a terceira vez em poucas semanas que os pesquisadores da ESET detectam uma amostra que até então era desconhecida de malwares que apagam dados e que são direcionados a organizações na Ucrânia.
Em 23 de fevereiro, véspera da invasão russa à Ucrânia, a ESET detectou o HermeticWiper nas redes de várias organizações ucranianas de alto perfil. Estas campanhas também alavancaram o HermeticWizard, um VÍRUS personalizado usado para propagar o wiper dentro de redes locais, e o HermeticRansom, um ransomware usado como isca para infectar vítimas com o apagador de dados.
No dia seguinte, 24 de fevereiro, juntamente com o a invasão russa, um segundo ataque destrutivo contra uma rede do governo ucraniano foi achado, desta vez com o intuito de implantar o IsaacWiper, que tinha semelhanças em seu código com o HermeticWiper.