Új pusztító rosszindulatú programokat használtak Ukrajna elleni kibertámadásokban
Ahogy az ukrajnai háború folytatódik, a hírek szerint a fővárosban, Kijevben történt pusztításról és a helyi polgármester által elrendelt kijárási tilalomról szól a csata a kibertérben is. Biztonsági kutatók tegnap arról számoltak be, hogy több ukrán hálózaton is egy új, pusztító kártevő-fajtát észleltek.
Az új kártevő törlőként működik, nem próbálja kiszűrni vagy titkosítani az adatokat, mint a zsarolóprogramok. Ehelyett a fenyegető törlőeszközök egyszerűen törölnek mindent, amit csak tudnak, és tisztára törlik a helyet, hogy megakadályozzák az adatok helyreállítását.
A CaddyWiper törli a fájlokat, partíciókat
Az újonnan felfedezett eszközt CaddyWipernek nevezték el, és egy Twitter-bejegyzésben részletezték a malware-kutatók. Ez a harmadik fenyegető ablaktörlő, amelyet vadonban fedeztek fel Ukrajnában az országban zajló katonai konfliktus kezdete óta. Érdekes módon kiderült, hogy a CaddyWiper rakománya vadonatúj, és ugyanazon a napon állították össze, amikor az ukrajnai rendszerek támadására használták.
További érdekesség az újonnan indult kártevővel kapcsolatban, hogy miközben adatokat semmisít és partíciókat törl, a tartományvezérlőket nem zavarja. A tartományvezérlők a hálózat azon részei, amelyek a hitelesítési kérelmek kezeléséért és a tartományi erőforrásokhoz való hozzáférésért felelősek egy adott hálózaton. Ez azt jelentheti, hogy az eszköz célja, hogy kezelőinek kiterjesztett hozzáférést biztosítson a feltört rendszerekhez, valamint az adatok törlésének fő feladata.
A CaddyWiper átterjed a korábban kompromittált hálózatokra
A CaddyWiper terjesztésére visszaélt eszközről kiderült, hogy Microsoft csoportházirend-objektumok vagy csoportházirend-objektumok. Egy feltört hálózat legalább egy példányában azonban az alapértelmezett csoportházirend-objektumot használták a rosszindulatú program terjesztésére. Ez önmagában azt sugallja, hogy bármilyen harmadik fél is üzemelteti a CaddyWiper-t, az már jogosulatlanul hozzáfért a hálózat Active Directory szolgáltatásaihoz.
Az elmúlt hetekben az ukrán célpontok elleni kibertámadások során használt két korábbi fenyegetőeszköz a HermeticWiper és az IsaacWiper volt . Mindkét eszköznek volt pusztító képessége, de nem volt jelentős hasonlóság a legújabb CaddyWiperrel, ami a kódot illeti.
Az Ukrajnában használatos CaddyWiper eszközről szóló hírek mellett egy újabb kibertámadás került a címlapokra, ezúttal a Rosznyefty orosz olajtársaság ellen. A hírek szerint a Rosneft német leányvállalatát megtámadta az Anonymous néven ismert nemzetközi hacktivista kollektíva. A jelentések szerint a támadás során 20 TB adatot szivárogtattak ki. A német hatóságok vizsgálják a támadást. A Rosneft Deutschland létesítményeit ez nem érinti.