תוכנה זדונית הרסנית חדשה בשימוש בהתקפות סייבר על אוקראינה

בעוד המלחמה באוקראינה נמשכת, עם דיווחים על ההרס האחרון בעיר הבירה קייב ועוצר שהוטל על ידי ראש העיר המקומי, הקרב נמשך גם במרחב הווירטואלי. חוקרי אבטחה דיווחו אתמול כי זן חדש של תוכנות זדוניות הרסניות זוהה במספר רשתות אוקראיניות.

התוכנה הזדונית החדשה מתפקדת כמגב, לא מנסה לסנן נתונים או להצפין אותם כפי שעושה תוכנת כופר. במקום זאת, כלי מגבים מאיימים פשוט מוחקים כל מה שהם יכולים ומנקים את השטח כדי למנוע שחזור נתונים.

CaddyWiper מוחק קבצים, מחיצות

הכלי החדש שהתגלה זכה לכינוי CaddyWiper ומפורט בפוסט בטוויטר על ידי חוקרי תוכנות זדוניות. זהו המגב המאיים השלישי שהתגלה בטבע באוקראינה מאז תחילת הסכסוך הצבאי במדינה. באופן מוזר, התברר כי המטען של ה-CaddyWiper היה חדש לגמרי וחובר בדיוק באותו יום שבו הוא שימש לתקיפת מערכות באוקראינה.

פרט מעניין נוסף לגבי התוכנה הזדונית שהושקה לאחרונה הוא שבעוד שהיא הורסת נתונים ומוחקת מחיצות, היא לא מפריעה לבקרי תחום. בקרי תחום הם החלקים של רשת שאחראים לטיפול בבקשות אימות וגישה למשאבי התחום ברשת נתונה. זה עשוי לרמוז שהכלי נועד לתת למפעיליו גישה מורחבת למערכות שנפגעו, יחד עם המשימה העיקרית של מחיקת נתונים.

CaddyWiper מתפשט לרשתות שנפגעו בעבר

הכלי שנעשה בו שימוש לרעה לצורך הפצת CaddyWiper נמצא כאובייקטי מדיניות קבוצתית של Microsoft או GPOs. עם זאת, לפחות במקרה אחד של רשת שנפרצה, נעשה שימוש ב-GPO ברירת המחדל שלה כדי להפיץ את התוכנה הזדונית. זה, כשלעצמו, מצביע על כך שכל צד שלישי שמפעיל את CaddyWiper, כבר השיג גישה לא מורשית לשירותי Active Directory של הרשת.

שני הכלים המאיימים הקודמים ששימשו בשבועות האחרונים במתקפות סייבר נגד מטרות אוקראיניות נקראו HermeticWiper ו- IsaacWiper . לשני הכלים היו יכולות הרסניות אך לא חלקו קווי דמיון משמעותיים עם ה-CaddyWiper העדכני ביותר בכל הנוגע לקוד.

יחד עם הדיווחים על השימוש בכלי CaddyWiper באוקראינה, עלתה לכותרות מתקפת סייבר נוספת, הפעם כלפי חברת הנפט הרוסית Rosneft. על פי הדיווחים, חברת בת גרמנית של רוסנפט הותקפה על ידי הקולקטיב האקטיביסטי הבינלאומי המכונה אנונימוס. דיווחים מציינים כי 20TB של נתונים הוצאו במתקפה. הרשויות בגרמניה חוקרות את הפיגוע. מתקני Rosneft Deutschland לא הושפעו.