ESET y Symantec comparten detalles sobre la herramienta utilizada para dañar los datos almacenados en las redes de varias organizaciones ucranianas y bálticas.

Un data wiper es una herramienta de software que se utiliza para borrar datos de forma segura de manera que sea imposible recuperarlos.

Sin embargo, el malware también puede integrar funciones de borrado de datos con el objetivo de dañar los datos almacenados en los servidores.

Así lo demuestran las múltiples acciones que han tenido como objetivo a varias organizaciones ucranianas.

ESET y Symantec informaron de algunos ejemplos de malware con capacidad de borrado de datos que se han utilizado para atacar empresas y entidades públicas en Ucrania, así como en Letonia y Lituania.

Ambas empresas que desarrollan soluciones de ciberseguridad están publicando detalles e información técnica sobre las amenazas descubiertas. El data wiper Win32 / KillDisk.NCV, completamente desconocido hasta hace unas horas y detectado por la gran mayoría de los motores de análisis antimalware (basta con buscar en VirusTotal el hash SHA-256 que Symantec publicó en este tweet), parece que se desarrolló en diciembre de 2021.

Los autores del malware utilizaron controladores firmados digitalmente extraídos del conocido disco duro EASUS Partition Manager y el software de partición SSD para dañar el contenido de los medios de almacenamiento.

ESET indica que en al menos uno de los ataques, no se originó en ordenadores individuales conectadas a la red local, sino que se originó directamente en el controlador de dominio de Windows. Esto indica que los responsables de los ataques habían podido acceder a las redes de las víctimas tiempo atrás.

"En una de las organizaciones, el módulo de limpieza se lanzó a través de GPO. Significa que los atacantes probablemente ya habían tomado el control del servidor de Active Directory", explica ESET.

Al mismo tiempo, se lanzaron varios ataques de denegación de servicio distribuido (DDoS) contra sitios web del gobierno, bancos y empresas de Ucrania para dejarlos fuera de servicio temporalmente.

Cloudflare ha hecho saber que, aunque estos son ciertamente ataques "significativos", los ataques DDoS registrados en las últimas horas son bastante modestos en comparación con los lanzados en el pasado.