Nuovo malware distruttivo utilizzato negli attacchi informatici in Ucraina
Mentre la guerra in Ucraina continua, con le notizie dell'ultima devastazione nella capitale Kiev e il coprifuoco imposto dal sindaco locale, la battaglia infuria anche nel cyberspazio. I ricercatori di sicurezza hanno riferito ieri che un nuovo ceppo di malware distruttivo è stato individuato in più reti ucraine.
Il nuovo malware funziona come un wiper, non tentando di esfiltrare i dati o crittografarli come fa il ransomware. Invece, gli strumenti di pulizia minacciosi eliminano semplicemente tutto ciò che possono e ripuliscono lo spazio per impedire il ripristino dei dati.
CaddyWiper elimina file, partizioni
Lo strumento appena scoperto è stato soprannominato CaddyWiper e dettagliato in un post su Twitter da ricercatori di malware. Questo è il terzo tergicristallo minaccioso che è stato scoperto allo stato brado in Ucraina dall'inizio del conflitto militare nel paese. Curiosamente, si è scoperto che il carico utile del CaddyWiper era nuovo di zecca e compilato lo stesso giorno in cui era stato utilizzato per attaccare i sistemi in Ucraina.
Un altro dettaglio interessante sul malware appena lanciato è che mentre distrugge i dati ed elimina le partizioni, non interferisce con i controller di dominio. I controller di dominio sono le parti di una rete responsabili della gestione delle richieste di autenticazione e dell'accesso alle risorse di dominio su una determinata rete. Ciò potrebbe implicare che lo strumento abbia lo scopo di fornire ai suoi operatori un accesso esteso ai sistemi compromessi, insieme al compito principale di cancellare i dati.
CaddyWiper si diffonde a reti precedentemente compromesse
Lo strumento utilizzato in modo improprio per la diffusione di CaddyWiper è risultato essere oggetti Criteri di gruppo di Microsoft o GPO. Tuttavia, in almeno un'istanza di una rete compromessa, il suo GPO predefinito è stato utilizzato per propagare il malware. Questo, di per sé, suggerisce che qualunque terza parte stia utilizzando CaddyWiper, abbia già ottenuto l'accesso non autorizzato ai servizi di Active Directory della rete.
I due precedenti strumenti minacciosi utilizzati nelle ultime settimane negli attacchi informatici contro obiettivi ucraini erano chiamati HermeticWiper e IsaacWiper. Entrambi gli strumenti avevano capacità distruttive ma non condividevano somiglianze significative con l'ultimo CaddyWiper quando si trattava di codice.
Insieme ai rapporti sull'utilizzo dello strumento CaddyWiper in Ucraina, un altro attacco informatico ha fatto notizia, questa volta diretto alla compagnia petrolifera russa Rosneft. Secondo quanto riferito, una filiale tedesca di Rosneft è stata attaccata dal collettivo internazionale di hacktivisti noto come Anonymous. I rapporti affermano che 20 TB di dati sono stati esfiltrati durante l'attacco. Le autorità tedesche stanno indagando sull'attacco. Le strutture di Rosneft Deutschland non sono state interessate.