Ny destruktiv malware brugt i cyberangreb på Ukraine
Mens krigen i Ukraine fortsætter, med rapporter om de seneste ødelæggelser i hovedstaden Kyiv og et udgangsforbud indført af den lokale borgmester, raser kampen også i cyberspace. Sikkerhedsforskere rapporterede i går, at en ny stamme af destruktiv malware er blevet opdaget i flere ukrainske netværk.
Den nye malware fungerer som en wiper, og forsøger ikke at eksfiltrere data eller kryptere dem, som ransomware gør. I stedet sletter truende viskerværktøjer simpelthen alt, hvad de kan, og tørrer pladsen ren for at forhindre datagendannelse.
CaddyWiper sletter filer, partitioner
Det nyopdagede værktøj er blevet døbt CaddyWiper og beskrevet i et Twitter-indlæg af malware-forskere. Dette er den tredje truende visker, der er blevet opdaget i naturen i Ukraine siden starten på den militære konflikt i landet. Mærkeligt nok viste det sig, at CaddyWipers nyttelast var helt ny og kompileret samme dag, som den blev brugt til at angribe systemer i Ukraine.
En anden interessant detalje ved den nyligt lancerede malware er, at selvom den ødelægger data og sletter partitioner, så forstyrrer den ikke domænecontrollere. Domænecontrollere er de dele af et netværk, der er ansvarlige for at håndtere godkendelsesanmodninger og få adgang til domæneressourcerne på et givet netværk. Dette kan betyde, at værktøjet er beregnet til at give dets operatører udvidet adgang til de kompromitterede systemer, sammen med hovedopgaven med at slette data.
CaddyWiper spreder sig til tidligere kompromitterede netværk
Værktøjet, der blev misbrugt til at sprede CaddyWiper, viste sig at være Microsoft Group Policy Objects eller GPO'er. I mindst ét tilfælde af et kompromitteret netværk blev dets standard GPO dog brugt til at udbrede malwaren. Dette i sig selv tyder på, at uanset hvilken tredjepart der driver CaddyWiper, allerede havde fået uautoriseret adgang til netværkets Active Directory-tjenester.
De to tidligere truende værktøjer brugt i de seneste uger i cyberangreb mod ukrainske mål blev kaldt HermeticWiper og IsaacWiper. Begge værktøjer havde destruktive egenskaber, men delte ikke meningsfulde ligheder med den seneste CaddyWiper, når det kommer til kode.
Sammen med rapporterne om, at CaddyWiper-værktøjet blev brugt i Ukraine, skabte endnu et cyberangreb overskrifter, denne gang rettet mod det russiske olieselskab Rosneft. Et tysk datterselskab af Rosneft blev angiveligt angrebet af det internationale hacktivist-kollektiv kendt som Anonymous. Rapporter siger, at 20 TB data blev eksfiltreret i angrebet. De tyske myndigheder efterforsker angrebet. Rosneft Deutschland faciliteter er ikke blevet berørt.