# Ukraine Wiper Attacks 2022 > [!critical] Campanha Destrutiva Russa - 9 Famílias de Wipers em 3 Meses > Os ataques de wiper contra a Ucrânia em 2022 representam a mais intensa campanha de malware destrutivo da história recente: 9 famílias distintas foram implantadas de janeiro a abril, coordenadas com a invasão militar russa. WhisperGate, HermeticWiper, IsaacWiper e CaddyWiper foram as principais famílias, causando paralisação de infraestrutura crítica, setor financeiro e governo ucraniano. ## Visão Geral Os ataques de wiper contra a Ucrânia em 2022 constituem um marco na história da ciberguerra: pela primeira vez, operações cibernéticas destrutivas foram coordenadas em larga escala com operações militares cinéticas, funcionando como multiplicador de força para a invasão russa de 24 de fevereiro de 2022. Pesquisadores da ESET, Microsoft, CrowdStrike e Recorded Future documentaram ao menos 9 famílias distintas de wiper implantadas em organizações ucranianas em um período de apenas 3 meses. A campanha iniciou em 13 de janeiro de 2022 com o [[s0689-whispergat]] (atribuído ao DEV-0586, entidade afiliada ao GRU russo), que simulava ransomware enquanto destruía o Master Boot Record (MBR) e sobrescreva dados em disco. Horas antes da invasão terrestre de 23 de fevereiro, o [[g0034-sandworm]] implantou o [[s0697-hermeticwiper]] em centenas de sistemas em pelo menos cinco organizações ucranianas - o wiper usava driver legítimo do EaseUS Partition Master para acesso direto ao disco. No dia seguinte, 24 de fevereiro, uma nova família, [[isaacwiper]], foi detectada pela ESET em rede governamental ucraniana. O padrão se repetiu em março com o [[s0693-caddywiper]] (14 de março), o DoubleZero/FiberLake (17 de março), e outros. Cada wiper foi desenvolvido de forma independente, sem sobreposição de código significativa, sugerindo múltiplas equipes de desenvolvimento trabalhando em paralelo. A ESET documentou que o [[s0697-hermeticwiper]] foi acompanhado do worm [[s0698-hermeticwizard]] para propagação interna e de HermeticRansom como decoy. ## Famílias de Wiper Documentadas | Wiper | Data | Atribuição | Alvo Principal | |-------|------|-----------|----------------| | WhisperGate | 13/01/2022 | DEV-0586 (GRU) | Governo, ONG, TI | | HermeticWiper | 23/02/2022 | Sandworm/IRIDIUM | Governo, financeiro, energia | | HermeticWizard | 23/02/2022 | Sandworm/IRIDIUM | Propagação do HermeticWiper | | IsaacWiper | 24/02/2022 | Não confirmado | Rede governamental | | AcidRain | 24/02/2022 | Sandworm | Modems Viasat KA-SAT | | CaddyWiper | 14/03/2022 | Sandworm/IRIDIUM | Banco ucraniano | | DoubleZero | 17/03/2022 | UAC-0088 | Broadcast/mídia | | DesertBlade | 01/03/2022 | Não confirmado | Empresa de broadcasting | | Industroyer2 | 08/04/2022 | Sandworm | Infraestrutura elétrica | ## Attack Flow Típica ```mermaid graph TB A["🎯 Comprometimento Prévio<br/>Semanas/meses antes do deploy"] --> B["🐚 Acesso via GPO ou Webshell<br/>Implantação centralizada"] B --> C["💾 Deploy do Wiper<br/>Executável ou DLL em sistemas alvo"] C --> D["🔧 Driver Legítimo<br/>EaseUS ou DiskCryptor para acesso ao disco"] D --> E["💥 MBR Destruído<br/>Sobrescreve Registro Mestre de Boot"] E --> F["📁 Arquivos Destruídos<br/>Sobrescrita sequencial ou aleatória"] F --> G["🔄 Reinicialização Forçada<br/>Sistema inoperável permanentemente"] ``` *Atores: [[g0034-sandworm]] · DEV-0586 (GRU) · UAC-0088* ## Timeline dos Ataques ```mermaid timeline title Ukraine Wiper Attacks 2022 Jan 2022 : WhisperGate detectado : Finge ser ransomware : Alvos em governo ucraniano 23 Fev 2022 : HermeticWiper implantado : Horas antes da invasão terrestre : 5+ organizações comprometidas 24 Fev 2022 : IsaacWiper e AcidRain : Invasão russa começa : Modems Viasat destruídos 14 Mar 2022 : CaddyWiper em banco ucraniano : Deploy via GPO 17 Mar 2022 : DoubleZero via phishing : Alvo: organizações mídia 8 Abr 2022 : Industroyer2 - tentativa : Subestação elétrica - CERT-UA bloqueia ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Destruction | [[t1485-data-destruction\|T1485]] | Sobrescrita de arquivos e dados de sistema | | Disk Content Wipe | [[t1561-001-disk-content-wipe\|T1561.001]] | Destruição de partições e MBR | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Sistema permanentemente inoperável | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução via scripts batch e CMD | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais comprometidas para deploy | ## Relevância para o Brasil e LATAM > [!latam] Relevância para o Brasil > Os ataques de wiper ucranianos são relevantes para o Brasil em dois vetores: o **Industroyer2** demonstrou capacidade de atacar infraestrutura elétrica com malware ICS — modelo replicável contra a **infraestrutura crítica brasileira** (setor elétrico, petróleo e gás). A técnica de deploy via **Group Policy Object** usada pelo CaddyWiper é TTP relevante para qualquer ambiente Windows corporativo no Brasil. O **CERT.br** públicou orientações específicas sobre proteção a wipers na sequência das campanhas de 2022. Os ataques de wiper ucranianos são relevantes para organizações brasileiras e LATAM: - **Spillover documentado**: o HermeticWiper se propagou além da Ucrânia, afetando sistemas em países Bálticos - empresas com subsidiárias ou VPNs conectadas a redes ucranianas foram expostas - **Precedente para ICS/OT**: o Industroyer2 demonstrou capacidade de atacar infraestrutura elétrica com malware específico para ICS - modelo replicável contra infraestrutura crítica brasileira - **Técnicas de GPO**: o deploy via Group Policy Object (usado pelo CaddyWiper) é uma TTP relevante para qualquer ambiente Windows corporativo, incluindo organizações de [[energy|energia]] e [[government|governo]] no Brasil - O [[cert-br]] públicou orientações sobre proteção a wipers na sequência das campanhas de 2022 ## Detecção e Defesa **Controles preventivos:** - Backup offline testado e isolado da rede corporativa é o único controle efetivo contra wipers - Restrição de acesso a Group Policy Objects a administradores de domínio com MFA obrigatório - Monitorar instalação de drivers incomuns (especialmente drivers de gerenciamento de disco) - Segmentar redes de OT/ICS completamente da rede corporativa **Detecção comportamental:** - Processos com acesso massivo e sequencial a arquivos em múltiplos diretórios - Gravações na partição de boot (MBR/VBR) fora de contexto de atualização do SO - Instalação de drivers assinados por certificados desconhecidos ou empresas de nicho - Uso de `wevtutil.exe` para limpar logs de eventos em larga escala ## Referências - [1](https://www.welivesecurity.com/2023/02/24/year-wiper-attacks-ukraine/) ESET WeLiveSecurity - A year of wiper attacks in Ukraine (2023) - [2](https://www.microsoft.com/en-us/msrc/blog/2022/02/analysis-resources-cyber-threat-activity-ukraine) Microsoft MSRC - Cyber Threat Activity in Ukraine (2022) - [3](https://go.recordedfuture.com/hubfs/reports/mtp-2022-0512.pdf) Recorded Future - 9 Distinct Data Wipers Used in Ukraine War (2022) - [4](https://www.virusbulletin.com/uploads/pdf/conference/vb2022/papers/VB2022-Russian-wipers-in-the-cyberwar-against-Ukraine.pdf) Virus Bulletin - Russian Wipers in the Cyberwar Against Ukraine (2022) - [5](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a) CISA - AA22-057A: Destructive Malware Targeting Organizations in Ukraine (2022) - [6](https://www.optiv.com/insights/discover/blog/russiaukraine-update-november-2022) Optiv - Russia/Ukraine Wiper Families Overview (2022)