Sandworm, afiliado a Rusia, us\u00f3 otra cepa de malware de limpiaparabrisas denominada NikoWiper<\/strong> como parte de un ataque que tuvo lugar en octubre de 2022 contra una empresa del sector energ\u00e9tico en Ucrania.<\/p>\n “El NikoWiper se basa en SEliminar<\/a>una utilidad de l\u00ednea de comandos de Microsoft que se utiliza para eliminar archivos de forma segura”, dijo la empresa de ciberseguridad ESET revel\u00f3<\/a> en su \u00faltimo Informe de actividad de APT compartido con The Hacker News.<\/p>\n La firma eslovaca de ciberseguridad dijo que los ataques coincidieron con ataques con misiles<\/a> orquestado por las fuerzas armadas rusas dirigido a la infraestructura energ\u00e9tica de Ucrania, lo que sugiere superposiciones en los objetivos.<\/p>\n La divulgaci\u00f3n se produce pocos d\u00edas despu\u00e9s de que ESET atribuy\u00f3 a Sandworm a un limpiador de datos basado en Golang denominado SwiftSlicer que se implement\u00f3 contra una entidad ucraniana no identificada el 25 de enero de 2023.<\/p>\n El grupo de amenazas persistentes avanzadas (APT) vinculado a la agencia de inteligencia militar extranjera GRU de Rusia tambi\u00e9n estuvo implicado en un ataque parcialmente exitoso contra la agencia de noticias nacional Ukrinform, desplegando hasta cinco limpiaparabrisas diferentes en las m\u00e1quinas comprometidas.<\/p>\n El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) identific\u00f3 las cinco variantes de limpiaparabrisas como CaddyWiper, ZeroWipe, SDelete, AwfulShred y BidSwipe. Los tres primeros de estos sistemas Windows se dirigieron, mientras que AwfulShred y BidSwipe apuntaron a los sistemas Linux y FreeBSD.<\/p>\n El uso de SDelete es notable, ya que sugiere que Sandworm ha estado experimentando con la utilidad como un limpiador en al menos dos instancias diferentes para causar un da\u00f1o irreparable a las organizaciones objetivo en Ucrania.<\/p>\n Dicho esto, el investigador de malware de ESET, Robert Lipovsky, le dijo a The Hacker News que “NikoWiper es un malware diferente”.<\/p>\n Adem\u00e1s de armar SDelete, las campa\u00f1as recientes de Sandworm tambi\u00e9n han aprovechado familias de ransomware a medida, incluidos Prestige y RansomBoggs, para bloquear los datos de las v\u00edctimas detr\u00e1s de barreras de cifrado sin ninguna opci\u00f3n para recuperarlos.<\/p>\n Los esfuerzos son el \u00faltimo indicio de que el uso de malware de limpieza destructivo est\u00e1 en aumento y se est\u00e1 adoptando cada vez m\u00e1s como arma cibern\u00e9tica preferida entre los equipos de pirater\u00eda rusos.<\/p>\n “Los limpiaparabrisas no se han usado mucho porque son armas dirigidas”, dijo Dmitry Bestuzhev de BlackBerry a The Hacker News en un comunicado. “Sandworm ha estado trabajando activamente en el desarrollo de limpiaparabrisas y familias de ransomware utilizadas expl\u00edcitamente para Ucrania”.<\/p>\n No se trata solo de Sandworm, ya que otros equipos patrocinados por el estado ruso, como APT29, Callisto y Gamaredon, se han involucrado en esfuerzos paralelos para paralizar la infraestructura ucraniana a trav\u00e9s de campa\u00f1as de phishing dise\u00f1adas para facilitar el acceso por la puerta trasera y el robo de credenciales.<\/p>\n Seg\u00fan Recorded Future, que rastrea APT29 (tambi\u00e9n conocido como Nobelium) bajo el nombre de BlueBravo, el APT se ha conectado a una nueva infraestructura comprometida que probablemente se emplee como se\u00f1uelo para entregar un cargador de malware con nombre en c\u00f3digo GraphicalNeutrino.<\/p>\n El cargador, cuya funci\u00f3n principal es entregar malware de seguimiento, abusa de la API de Notion para las comunicaciones de comando y control (C2), as\u00ed como de la funci\u00f3n de base de datos de la plataforma para almacenar informaci\u00f3n de la v\u00edctima y organizar cargas \u00fatiles para su descarga.<\/p>\n \u201cCualquier pa\u00eds con un nexo con la crisis de Ucrania, en particular aquellos con relaciones geopol\u00edticas, econ\u00f3micas o militares clave con Rusia o Ucrania, corren un mayor riesgo de ser atacados\u201d, dijo la compa\u00f1\u00eda. dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada.<\/p>\n El cambio a Notion, una aplicaci\u00f3n leg\u00edtima para tomar notas, subraya el “uso cada vez mayor pero continuo” de APT29 de servicios de software populares como Dropbox, Google Drive y Trello para combinar el tr\u00e1fico de malware y eludir la detecci\u00f3n.<\/p>\n Aunque no se detect\u00f3 malware de segunda etapa, ESET, que tambi\u00e9n encontr\u00f3 una muestra del malware en octubre de 2022, teoriz\u00f3 que estaba “dirigido a buscar y ejecutar Cobalt Strike”.<\/p>\n