Detectar CaddyWiper: Outro Apagador de Dados Destrutivo Atacando Redes Ucranianas
Índice:
O ciberespaço é mais uma fronteira na guerra Rússia-Ucrânia. Ciberataques de larga escala apoiados pela Rússia atacam cibernéticos acompanham a agressão militar contra a Ucrânia, visando tirar do ar elementos-chave da infraestrutura ucraniana. O malware CaddyWiper recém-descoberto adiciona uma tensão às ciberameaças previamente reveladas – HermeticWiper, WhisperGate, e IsaacWiper. O novo malware de eliminação de dados não se assemelha a outras famílias de malware.
Detecção de CaddyWiper
Para detectar esse malware de eliminação de dados, utilize a seguinte regra baseada em Sigma fornecida pelo nosso habilidoso caça-ameaças Osman Demir:
CaddyWiper – Novo Malware Destrutivo de Eliminação na Ucrânia (via file_event)
Para acessar esta detecção baseada em Sigma, faça login em sua conta atual ou cadastre-se na plataforma.
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP e Open Distro.
A regra está alinhada com a versão mais recente do MITRE ATT&CK® framework v.10, tratando a tática de Impacto com Wipe de Disco (T1561) como a técnica principal e Wipe de Conteúdo do Disco (T1561.001) como a sub-técnica.
Além da detecção Sigma acima, você pode utilizar a regra YARA do nosso desenvolvedor de Threat Bounty de primeira linha Antonio Farina:
Para detectar outras vulnerabilidades, consulte a lista completa de regras disponível no repositório do Threat Detection Marketplace da plataforma SOC Prime. Criando seu próprio conteúdo? Junte-se à maior comunidade de defesa cibernética do mundo potenciada pelo programa Threat Bounty e ganhe uma renda estável compartilhando seu conteúdo de detecção.
Ver Detecções Junte-se ao Threat Bounty
Análise de CaddyWiper
Desde o início da agressão russa em 2022, uma onda de ciberataques debilitantes atingiu a Ucrânia, com o objetivo de paralisar sua infraestrutura digital e minar a estabilidade do país. Em 14 de março, pesquisadores da ESET relataram um novo malware de eliminação de dados, chamado CaddyWiper. Foi projetado para destruir dados e informações de partição de discos anexados.
De acordo com os dados atuais, os adversários conseguiram até dez invasões de organizações ucranianas, armados com essa cepa de malware destruidor de dados. Casos de implantação do CaddyWiper mostram uma semelhança tática que CaddyWiper e HermeticWiper compartilham: CaddyWiper infiltrou sistemas-alvo através de controladores de domínio do Windows. Assim, sabemos que os adversários estavam controlando o servidor do Active Directory similar aos recentes ataques do HermeticWiper. O CaddyWiper, ao ser implantado, evita apagar dados nos controladores de domínio, permitindo que os hackers por trás do ataque persistam e perturbem as operações. Outro detalhe — a amostra descoberta não foi assinada digitalmente, mas compilada.
Nestes tempos turbulentos, não se pode subestimar a importância de práticas eficientes de cibersegurança. Impulsionada pela defesa cibernética colaborativa, a SOC Prime organiza mais de 2.000 detecções baseadas em Sigma para defender contra ameaças cibernéticas apoiadas pela Rússia, com todas as regras agora disponíveis para caça gratuita usando o módulo Quick Hunt. Faça login na Plataforma SOC Prime e explore para buscar ameaças relacionadas com o Quick Hunt:
Conteúdo de caça gratuito contra ameaças originárias da Rússia
Participe da plataforma Detection as Code da SOC Prime para aumentar suas capacidades de detecção de ameaças com o poder dos líderes da indústria. Procurando maneiras de contribuir com seu próprio conteúdo de detecção e promover a defesa cibernética colaborativa? Junte-se às forças com o iniciativa de crowdsourcing da SOC Prime para compartilhar suas regras Sigma com a comunidade, contribuir para um ciberespaço mais seguro e receber recompensas recorrentes por suas valiosas contribuições!
