Нов разрушителен зловреден софтуер, използван при кибератаки срещу Украйна
Докато войната в Украйна продължава, с доклади за последните опустошения в столицата Киев и полицейски час, наложен от местния кмет, битката бушува и във киберпространството. Изследователи по сигурността съобщиха вчера, че нов вид разрушителен зловреден софтуер е бил забелязан в множество украински мрежи.
Новият злонамерен софтуер функционира като чистач, а не се опитва да ексфилтрира данни или да ги криптира, както прави ransomware. Вместо това заплашващите инструменти за чистачки просто изтриват всичко, което могат, и изтриват пространството, за да предотвратят възстановяването на данни.
CaddyWiper изтрива файлове, дялове
Новооткритият инструмент е наречен CaddyWiper и е описан подробно в публикация в Twitter от изследователи на зловреден софтуер. Това е третата заплашителна чистачка, която е открита в дивата природа в Украйна от началото на военния конфликт в страната. Любопитното е, че се оказа, че полезният товар на CaddyWiper е чисто нов и компилиран в същия ден, когато е използван за атака на системи в Украйна.
Друга интересна подробност за новостартирания зловреден софтуер е, че докато унищожава данни и изтрива дялове, той не пречи на домейн контролерите. Контролерите на домейни са частите от мрежата, които отговарят за обработката на заявките за удостоверяване и за достъпа до ресурсите на домейна в дадена мрежа. Това може да означава, че инструментът е предназначен да даде на своите оператори разширен достъп до компрометираните системи, заедно с основната задача за изтриване на данни.
CaddyWiper се разпространява към по-рано компрометирани мрежи
Установено е, че инструментът, с който се злоупотребява за разпространение на CaddyWiper, е Microsoft Group Policy Objects или GPO. Въпреки това, в поне един случай на компрометирана мрежа, нейният GPO по подразбиране беше използван за разпространение на зловреден софтуер. Това само по себе си предполага, че която и трета страна, която работи с CaddyWiper, вече е получила неоторизиран достъп до услугите на Active Directory на мрежата.
Двата предишни заплашителни инструмента, използвани през последните седмици при кибератаки срещу украински цели, се наричаха HermeticWiper и IsaacWiper . И двата инструмента имаха разрушителни способности, но не споделяха значими прилики с най-новия CaddyWiper, когато става въпрос за код.
Заедно с докладите за инструмента CaddyWiper, използван в Украйна, поредната кибератака нашумя, този път насочена към руската петролна компания Роснефт. Съобщава се, че германско дъщерно дружество на Роснефт е било атакувано от международния хактивистки колектив, известен като Anonymous. Докладите сочат, че 20TB данни са били ексфилтрирани при атаката. Германските власти разследват нападението. Съоръженията на Rosneft Deutschland не са засегнати.