# CaddyWiper > [!critical] Wiper Destrutivo Russo — Ataques à Ucrânia em 2022 > CaddyWiper é um malware destrutivo (wiper) implantado contra organizações ucranianas em março de 2022, no contexto da invasão russa da Ucrânia. Destrói dados em todos os drives do sistema e apaga a estrutura de partições, tornando sistemas irrecuperáveis sem backup. ## Visão Geral O CaddyWiper é um malware wiper (destrutivo) descoberto pela ESET em 14 de março de 2022 durante análise de ataques contra organizações ucranianas. Foi identificado menos de duas semanas após o início da invasão russa, fazendo parte de uma série de wipers implantados em infraestrutura ucraniana ao longo de 2022, incluindo [[hermeticwiper|HermeticWiper]], [[isaacwiper|IsaacWiper]] e [[pathwiper|PathWiper]]. O CaddyWiper destrói dados em drives locais usando escrita de zeros, percorrendo letra por letra (C: a Z:) todos os drives disponíveis. Após destruir os dados, também apaga a estrutura de partições MBR/GPT, tornando os sistemas impossíveis de inicializar. O malware verifica se está rodando em um controlador de domínio — se sim, não executa o wipe, possívelmente para preservar o acesso de domínio do atacante para operações futuras. O ataque foi detectado em um número limitado de organizações ucranianas, indicando deployment cirúrgico via ferramentas de administração de rede comprometidas. A atribuição ao grupo [[g0034-sandworm-team|Sandworm]] (GRU Unit 74455) é baseada em overlaps de infraestrutura e táticas com operações anteriores do grupo. > [!latam] Relevância para o Brasil e LATAM > Wipers como o CaddyWiper representam ameaça de impacto máximo para qualquer organização: uma vez executado, causa destruição irreversível de dados. Embora o contexto original seja geopolítico (guerra Rússia-Ucrânia), as técnicas documentadas são diretamente aplicáveis a qualquer atacante com motivação destrutiva. Infraestrutura crítica brasileira — energia, telecomúnicações, água — deve implementar backups offline imutáveis e segmentação de rede como proteção fundamental contra ataques destrutivos. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Impact | [[t1485-data-destruction\|T1485]] | Destruição de dados via escrita de zeros em drives | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Destruição de MBR/GPT para impedir recuperação | | Defense Evasion | [[t1070-indicator-removal\|T1070]] | Remoção de artefatos após execução | ## Detecção - Monitorar processos com acesso de escrita a múltiplos drives em sequência rápida - Alertar para qualquer escrita em setor de boot (MBR/GPT) por processos não autorizados - Detectar uso de funções WinAPI de escrita de disco de baixo nível por processos suspeitos - Implementar honeypots de arquivos para detectar wipagem em progresso ## Referências - [ESET Research - CaddyWiper Discovery (2022)](https://www.welivesecurity.com/2022/03/15/caddywiper-new-wiper-malware-discovered-ukraine/) - [CISA - Russian Cyber Operations Against Ukraine (2022)](https://www.cisa.gov/uscert/ncas/alerts/aa22-057a) - [Malpedia - CaddyWiper](https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper)