ESET Research ha preparado un recopilado de los ataques disruptivos de tipo wiper que se han observado en Ucrania desde principios de 2022, poco antes de que comenzara la invasión militar rusa. La mayoría de estos ataques fueron atribuidos por el grupo de investigadores a Sandworm, con diversos grados de confianza. La compilación de ESET Research incluye ataques detectados por ESET, así como algunos reportados por otras fuentes de confianza como CERT-UA, Microsoft y SentinelOne. Puedes acceder a la infografía con la cronología de ciberataques con malware wiper elaborada por ESET aquí o encontrarla adjunta a este correo.
Antes de la invasión
Entre las numerosas oleadas de ataques DDoS dirigidos a instituciones ucranianas, el malware WhisperGate empezó sus actividades el 14 de enero de 2022. El wiper se hacía pasar por ransomware, haciéndose eco de NotPetya, una táctica detectada en junio de 2017 que también se vería en ataques posteriores.
Ya el 23 de febrero de 2022, una campaña destructiva que utilizaba HermeticWiper tuvo como objetivo cientos de sistemas de al menos cinco organizaciones ucranianas. Este vaciado de datos se detectó por primera vez poco antes de las 17:00 hora local, por lo que este ciberataque precedió, por apenas unas horas, a la invasión de Ucrania por parte de las fuerzas de la Federación Rusa. Además de HermeticWiper, en la campaña también se desplegaron el gusano HermeticWizard y el falso ransomware HermeticRansom.
Invasión y ola primaveral
El 24 de febrero de 2022, con el invierno ucraniano llegando a su fin, comenzó un segundo ataque destructivo contra una red gubernamental ucraniana, utilizando un wiper que se ha vuelto conocido por el nombre IsaacWiper. Además, durante el mismo día de la invasión, la campaña de limpieza de AcidRain tuvo como objetivo los módems KA-SAT de Viasat, con efectos indirectos también fuera de Ucrania.
Otro wiper, revelado inicialmente por Microsoft, es DesertBlade, que se habría desplegado el 1 de marzo de 2022 y de nuevo en torno al 17 de marzo de 2022. El mismo informe también menciona ataques que utilizan wipers de la campaña Hermetic, concretamente HermeticWiper (Microsoft lo denomina FoxBlade) en torno al 10 de marzo de 2022, HermeticRansom (Microsoft lo denomina SonicVote) en torno al 17 de marzo de 2022, y un ataque en torno al 24 de marzo de 2022 que utiliza tanto HermeticWiper como HermeticRansom.
Aun en el mes de marzo, el CERT-UA informó sobre su descubrimiento del wiper DoubleZero el 17 de marzo de 2022. Por otro lado, el 14 de marzo de 2022, los investigadores de ESET detectaron un ataque que utilizaba CaddyWiper, cuyo objetivo era un banco ucraniano.
El 1 de abril de 2022, el grupo de investigadores de ESET volvió a detectar CaddyWiper, pero esta vez cargado por ArguePatch, que suele ser un binario legítimo modificado que se utiliza para cargar shellcode desde un archivo externo. La compañía también ha detectado un escenario similar el 16 de mayo de 2022, donde ArguePatch tomó la forma de un binario ESET modificado.
También en abril, concretamente el día 8, los investigadores de ESET detectaron el tándem ArguePatch-CaddyWiper, quizás los ataques más ambiciosos de Sandworm desde el comienzo de la invasión: su intento fallido de interrumpir el flujo de electricidad utilizando Industroyer2. Además de ArguePatch y CaddyWiper, en este incidente también descubrieron wipers para plataformas distintas de Windows como ORCSHRED, SOLOSHRED y AWFULSHRED. Para más detalles, consulta la notificación del CERT-UA, y el blogpost de ESET, WeLiveSecurity.
Un verano más tranquilo
En los meses de verano se descubrieron menos campañas de wipers en Ucraniaque en los meses anteriores, aunque se produjeron varios ataques notables. De hecho, ESET ha trabajado junto al CERT-UA en casos de despliegues de ArguePatch (y CaddyWiper) contra instituciones ucranianas. El primer incidente tuvo lugar en la semana que comenzó el 20 de junio de 2022, y otro el 23 de junio de 2022.
Ola otoñal
Con la bajada de las temperaturas y de camino a un duro invierno, el 3 de octubre de 2022 ESET detectaba una nueva versión de CaddyWiper desplegada en Ucrania. A diferencia de las variantes utilizadas anteriormente, esta vez CaddyWiper se compiló como un binario de Windows x64.
El 5 de octubre de 2022, los investigadores de ESET detectaron una nueva versión de HermeticWiper que había sido subida a VirusTotal. La funcionalidad de esta muestra de HermeticWiper era la misma que en las instancias anteriores, con ligeros cambios.
Por otro lado, el 11 de octubre de 2022, se detectó que el ransomware Prestige se estaba desplegando contra empresas de logística en Ucrania y Polonia. Microsoft también informó de esta campaña. Ese mismo día ESET también identificaba un wiper desconocido hasta entonces, al que bautizaron NikoWiper. Este wiper se utilizó contra una empresa del sector energético en Ucrania.
Durante el mes de noviembre, concretamente el día 11, el CERT-UA publicó un blogpost sobre un ataque que utilizaba el falso ransomware Somia. Ya el 21 de noviembre de 2022, los investigadores de ESET detectaron en Ucrania un nuevo ransomware escrito en .NET al que denominamos RansomBoggs y que hace múltiples referencias a la película Monstruos, S.A. El grupo también observó que los operadores del malware utilizaban scripts POWERGAP para desplegar este codificador de archivos.
Enero de 2023
Los ataques contra las instituciones ucranianas siguen ocurriendo en 2023. El 1 de enero de este año, ESET Research detectó la ejecución de la utilidad SDelete en un revendedor de software ucraniano.
Otro ataque con varios wipers, esta vez contra una agencia de noticias ucraniana, tuvo lugar el 17 de enero de 2023, según el CERT-UA. En este ataque se detectaron los siguientes wipers: CaddyWiper, ZeroWipe, SDelete, AwfulShred y BidSwipe. Además, el 25 de enero de 2023, los investigadores de ESET identificaron nuevo wiper, escrito en Go y al que denominron SwiftSlicer, que estaba siendo desplegado contra entidades gubernamentales locales en Ucrania.
En casi todos los casos mencionados, Sandworm utilizaba la directiva de grupo de Active Directory (T1484.001) para desplegar sus wipers y ransomware, concretamente utilizando el script POWERGAP.
“El uso de wipers disruptivos -e incluso wipers disfrazados de ransomware- por parte de grupos APT rusos, especialmente Sandworm, contra organizaciones ucranianas no es nada nuevo. Desde 2014 sabemos que BlackEnergy empleaba plugins disruptivos; el wiper KillDisk fue un denominador común en los ataques Sandworm en el pasado; y el subgrupo Telebots ha lanzado numerosos ataques wiper, el más infame NotPetya. Sin embargo, la intensificación de las campañas de wipers desde la invasión militar de febrero de 2022 no ha tenido precedentes. Algo positivo es que muchos de los ataques han sido detectados y frenados. Aun así, desde ESET se continúa vigilando la situación, ya que se espera que los ataques continúen” declara Josep Albors, director de Investigación y Concienciación de ESET España.
