Nový destruktivní malware použitý při kyberútocích na Ukrajinu

Jak válka na Ukrajině pokračuje, se zprávami o poslední zkáze v hlavním městě Kyjevě a zákazu vycházení vyhlášeným místním starostou, bitva zuří i v kyberprostoru. Bezpečnostní výzkumníci včera oznámili, že v několika ukrajinských sítích byl spatřen nový kmen destruktivního malwaru.

Nový malware funguje jako stěrač, nesnaží se exfiltrovat data nebo je zašifrovat jako ransomware. Místo toho hrozivé nástroje pro stírání jednoduše vymažou vše, co mohou, a místo vyčistí, aby se zabránilo obnově dat.

CaddyWiper odstraní soubory, oddíly

Nově objevený nástroj byl nazván CaddyWiper a podrobně popsán v příspěvku na Twitteru výzkumníky malwaru. Jde o třetí hrozivý stěrač, který byl na Ukrajině objeven ve volné přírodě od začátku vojenského konfliktu v zemi. Kupodivu se ukázalo, že užitečné zatížení CaddyWiperu bylo zcela nové a zkompilované ve stejný den, kdy bylo použito k útokům na systémy na Ukrajině.

Dalším zajímavým detailem o nově spuštěném malwaru je, že sice ničí data a maže oddíly, ale nezasahuje do doménových řadičů. Řadiče domény jsou části sítě, které jsou odpovědné za zpracování požadavků na ověření a přístup k prostředkům domény v dané síti. To by mohlo znamenat, že tento nástroj má svým operátorům poskytnout rozšířený přístup k napadeným systémům spolu s hlavním úkolem vymazat data.

CaddyWiper se rozšiřuje do dříve kompromitovaných sítí

Bylo zjištěno, že nástrojem zneužitým k šíření CaddyWiper jsou objekty zásad skupiny Microsoft nebo GPO. Alespoň v jedné instanci kompromitované sítě byl však k šíření malwaru použit její výchozí objekt GPO. To samo o sobě naznačuje, že jakákoliv třetí strana, která provozuje CaddyWiper, již získala neoprávněný přístup ke službám Active Directory v síti.

Dva předchozí hrozivé nástroje používané v posledních týdnech při kyberútocích proti ukrajinským cílům se jmenovaly HermeticWiper a IsaacWiper . Oba nástroje měly destruktivní schopnosti, ale nesdílely smysluplné podobnosti s nejnovějším CaddyWiperem, pokud jde o kód.

Spolu se zprávami o použití nástroje CaddyWiper na Ukrajině se do titulků dostal další kybernetický útok, tentokrát namířený proti ruské ropné společnosti Rosněfť. Německá pobočka Rosněftu byla údajně napadena mezinárodním hacktivistickým kolektivem známým jako Anonymous. Zprávy uvádějí, že při útoku bylo exfiltrováno 20 TB dat. Německé úřady útok vyšetřují. Zařízení Rosněft Deutschland nebyla ovlivněna.