Nauja destruktyvi kenkėjiška programa, naudojama kibernetinėse atakose prieš Ukrainą

Tęsiantis karui Ukrainoje, pasirodžius pranešimams apie naujausius niokojimus sostinėje Kijeve ir vietos mero įvestą komendanto valandą, mūšis vyksta ir virtualioje erdvėje. Saugumo tyrinėtojai vakar pranešė, kad keliuose Ukrainos tinkluose buvo pastebėta nauja destruktyvių kenkėjiškų programų atmaina.

Naujoji kenkėjiška programa veikia kaip valytuvas, nesistengia išfiltruoti duomenų arba jų užšifruoti, kaip tai daro išpirkos reikalaujančios programos. Vietoj to, grėsmingi valytuvai tiesiog ištrina viską, ką gali, ir nuvalykite erdvę, kad būtų išvengta duomenų atkūrimo.

„CaddyWiper“ ištrina failus, skaidinius

Naujai atrastas įrankis buvo pavadintas „CaddyWiper“ ir kenkėjiškų programų tyrinėtojų išsamiai aprašytas „Twitter“ įraše. Tai jau trečias grėsmingas valytuvas, kuris buvo aptiktas gamtoje Ukrainoje nuo karinio konflikto šalyje pradžios. Įdomu tai, kad „CaddyWiper“ naudingoji apkrova buvo visiškai nauja ir sudaryta tą pačią dieną, kai buvo panaudota atakuoti sistemas Ukrainoje.

Dar viena įdomi detalė apie naujai paleistą kenkėjišką programą yra ta, kad nors ji naikina duomenis ir ištrina skaidinius, ji netrukdo domeno valdikliams. Domeno valdikliai yra tinklo dalys, atsakingos už autentifikavimo užklausų tvarkymą ir prieigą prie domeno išteklių tam tikrame tinkle. Tai gali reikšti, kad įrankis skirtas suteikti operatoriams išplėstinę prieigą prie pažeistų sistemų, kartu atliekant pagrindinę duomenų nuvalymo užduotį.

„CaddyWiper“ plinta į anksčiau pažeistus tinklus

Nustatyta, kad įrankis, kuriuo piktnaudžiaujama platinant „CaddyWiper“, yra „Microsoft Group Policy Objects“ arba GPO. Tačiau bent viename pažeisto tinklo atveju jo numatytasis GPO buvo naudojamas kenkėjiškajai programai platinti. Tai savaime rodo, kad kad ir kokia trečioji šalis naudotų „CaddyWiper“, jau buvo gavusi neteisėtą prieigą prie tinklo „Active Directory“ paslaugų.

Dvi ankstesnės grasinančios priemonės, pastarosiomis savaitėmis naudotos per kibernetines atakas prieš Ukrainos taikinius, buvo vadinamos HermeticWiper ir IsaacWiper . Abu įrankiai turėjo destruktyvių savybių, tačiau jie neturėjo reikšmingų panašumų su naujausiu „CaddyWiper“, kai kalbama apie kodą.

Kartu su pranešimais apie Ukrainoje naudojamą „CaddyWiper“ įrankį, antraštėse pasirodė dar viena kibernetinė ataka, šį kartą nukreipta į Rusijos naftos kompaniją „Rosneft“. Pranešama, kad „Rosneft“ dukterinę įmonę Vokietijoje užpuolė tarptautinis hacktivistų kolektyvas, žinomas kaip „Anonymous“. Ataskaitose teigiama, kad per ataką buvo išfiltruota 20 TB duomenų. Vokietijos valdžia tiria išpuolį. „Rosneft Deutschland“ įrenginiai nebuvo paveikti.