0
0
À medida que as organizações ucranianas estão sendo atingidas por mais um malware que limpa dados, atores de ameaças com motivação financeira estão escolhendo lados e alguns deles estão expressando sua vontade de atingir alvos russos.
Malware atingindo alvos ucranianos
WhisperGate, HermeticWiper e IsaacWiper, e agora CaddyWiper – as organizações ucranianas estão enfrentando um ataque de malware que parece ter sido criado para semear a destruição durante o conflito em curso no mundo real.
De acordo com os pesquisadores da ESET, o CaddyWiper destrói dados de usuários e informações de partição de unidades anexadas, e foi visto em várias dezenas de sistemas em um número limitado de organizações.
“O CaddyWiper não compartilha nenhuma semelhança significativa de código com HermeticWiper, IsaacWiper ou qualquer outro malware conhecido por nós. A amostra que analisamos não foi assinada digitalmente”, compartilharam.
Da mesma forma que o HermeticWiper, o CaddyWiper está sendo implantado após atores de ameaças se infiltrarem na rede, via GPOs (Group Policy Objects).
“Curiosamente, o CaddyWiper evita destruir dados em controladores de domínio. Isso provavelmente é uma maneira de os atacantes manterem seu acesso dentro da organização enquanto ainda perturbam as operações”, acrescentaram.
Outros pesquisadores de malware também compartilharam suas descobertas:
O CERT da Ucrânia também alertou sobre cargas maliciosas disfarçadas de atualizações de segurança antivírus/Windows que estão sendo destinadas a alvos ucranianos, através de e-mails se passando por órgãos governamentais ucranianos.
O malware entregue é um farol Cobal Strike, o GraphSteel e os backdoors GrimPlant. Os backdoors são capazes de coletar informações do sistema, roubar credenciais de conta e executar comandos recebidos do servidor C2.
Alguns cibercriminosos podem atingir entidades russas
Um relatório divulgado na segunda-feira pela Accenture revelou que uma fenda ao longo das linhas ideológicas está acontecendo em fóruns subterrâneos criminosos em língua russa, com alguns atores de ameaça simpatizando com o lado ucraniano.
“Uma pesquisa recente feita por um membro de um desses fóruns analisou quantos atores estavam dispostos a atingir entidades russas; em 7 de março de 2022, 83% disseram que não eram, mas 17% surpreendentemente altos indicaram que estavam. Dada a ausência histórica de direcionamento da CEI e o fato de que este fórum é pró-Rússia, isso indica uma divisão ideológica sem precedentes”, explicaram os pesquisadores.
Atores pró-ucranianos estão se recusando a vender, comprar ou colaborar com atores alinhados à Rússia e estão cada vez mais tentando atingir entidades russas. Atores pró-russos estão fazendo o mesmo – alguns corretores iniciais de acesso à rede até ofereceram descontos para atores pró-russos interessados em comprar acesso a organizações ucranianas, e estão se abstendo de vender acessos associados a entidades russas.
Os pesquisadores também observaram um aumento do interesse dos atores de ameaça pró-Rússia para atingir organizações em países considerados “inimigos da Rússia”, e esperam que alvos ocidentais nos setores de recursos, governo, mídia, financeiro e seguros sejam atingidos.
“O direcionamento das entidades financeiras e de seguros deve-se à percepção de que são braços de trabalho das sanções financeiras ocidentais, enquanto o direcionamento das entidades de serviços públicos e de recursos deve-se à importância dessas organizações como infraestrutura nacional crítica”, acrescentaram.
FONTE: HELPNET SECURITY