Detectar CaddyWiper: Otro Borrador de Datos Destructivo para Atacar Redes Ucranianas

[post-views]
marzo 16, 2022 · 3 min de lectura
Detectar CaddyWiper: Otro Borrador de Datos Destructivo para Atacar Redes Ucranianas

El ciberespacio es otra frontera en la guerra entre Rusia y Ucrania. Los ataques cibernéticos a gran escala respaldados por Rusia acompañan la agresión militar contra Ucrania, con el objetivo de desconectar elementos clave de la infraestructura ucraniana. El recién detectado malware CaddyWiper se suma a una serie de amenazas cibernéticas previamente reveladas – HermeticWiper HermeticWiper, WhisperGate, e IsaacWiper. El nuevo malware para el borrado de datos no se asemeja a otras familias de malware.

DetecciĂłn de CaddyWiper

Para detectar este malware de borrado de datos, utilice la siguiente regla basada en Sigma proporcionada por nuestro experto cazador de amenazas Osman Demir:

CaddyWiper – Nuevo Malware Destructivo en Ucrania (via file_event)

Para acceder a esta detecciĂłn basada en Sigma, inicie sesiĂłn en su cuenta actual o regĂ­strese en la plataforma.

Esta detecciĂłn tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, y Open Distro.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Impacto con el borrado de disco (T1561) como la técnica principal y la sub-técnica de borrado de contenido del disco (T1561.001).

Además de la detección Sigma anterior, puede aprovechar la regla YARA de nuestro desarrollador de Threat Bounty de primer nivel Antonio Farina:

CaddyWiper

Para detectar otras vulnerabilidades, consulte la lista completa de reglas disponible en el repositorio del Threat Detection Marketplace de la Plataforma SOC Prime. ¿Estás creando tu propio contenido? Únete a la mayor comunidad de defensa cibernética del mundo impulsada por el programa Threat Bounty y gana un ingreso estable compartiendo tu contenido de detección.

Ver Detecciones Ăšnete a Threat Bounty

Análisis de CaddyWiper

Desde el comienzo de la agresión rusa en 2022, una ola de debilitantes ataques cibernéticos ha alcanzado a Ucrania con el objetivo de paralizar su infraestructura digital y socavar la estabilidad del país. El 14 de marzo, investigadores de ESET informaron sobre un nuevo malware de borrado de datos, denominado CaddyWiper. Fue diseñado para destruir datos y particionar información de discos adjuntos.

Según los datos actuales, los adversarios han logrado hasta diez hackeos de organizaciones ucranianas, armados con esta cepa de malware de borrado de datos. Los casos de implementación de CaddyWiper muestran una similitud táctica que CaddyWiper y HermeticWiper comparten: CaddyWiper infiltró sistemas dirigidos a través de controladores de dominio de Windows. Así sabemos que los adversarios estaban controlando el servidor de Active Directory de manera similar a los recientes ataques de HermeticWiper. El despliegue de CaddyWiper evita borrar datos en los controladores de dominio, permitiendo que los piratas informáticos detrás del ataque persistan y perturben las operaciones. Otro detalle — la muestra descubierta no estaba firmada digitalmente pero fue compilada.

En estos tiempos turbulentos, no se puede subestimar la importancia de unas prácticas eficientes de ciberseguridad. Impulsado por la defensa cibernética colaborativa, SOC Prime compila más de 2,000 detecciones basadas en Sigma para defenderse contra amenazas cibernéticas respaldadas por Rusia con todas las reglas ahora disponibles para cazar gratis utilizando el módulo Quick Hunt. Inicie sesión en la Plataforma SOC Prime y profundice en la búsqueda de amenazas relacionadas con Quick Hunt:
Contenido de caza gratuito contra amenazas originadas en Rusia

Únete a la plataforma Detección como Código de SOC Prime para mejorar sus capacidades de detección de amenazas con el poder de los líderes de la industria. ¿Está buscando formas de contribuir con su propio contenido de detección y fomentar la defensa cibernética colaborativa? Únase a la iniciativa de crowdsourcing de SOC Prime para compartir sus reglas Sigma con la comunidad, aportar a un ciberespacio más seguro y recibir recompensas recurrentes por su valiosa contribución!

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Ăšltimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Ăšltimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Ăšltimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko