Ny destruktiv skadelig programvare brukt i nettangrep på Ukraina
Mens krigen i Ukraina fortsetter, med rapporter om de siste ødeleggelsene i hovedstaden Kiev og et portforbud innført av den lokale ordføreren, raser kampen også i cyberspace. Sikkerhetsforskere rapporterte i går at en ny stamme av ødeleggende skadelig programvare har blitt oppdaget i flere ukrainske nettverk.
Den nye skadevare fungerer som en visker, og prøver ikke å eksfiltrere data eller kryptere den slik løsepengevare gjør. I stedet sletter truende viskerverktøy ganske enkelt alt de kan og tørker plassen ren for å forhindre datagjenoppretting.
CaddyWiper sletter filer, partisjoner
Det nyoppdagede verktøyet har blitt kalt CaddyWiper og beskrevet i et Twitter-innlegg av skadevareforskere. Dette er den tredje truende viskeren som er oppdaget i naturen i Ukraina siden starten av den militære konflikten i landet. Merkelig nok viste det seg at CaddyWipers nyttelast var helt ny og kompilert samme dag som den ble brukt til å angripe systemer i Ukraina.
En annen interessant detalj om den nylig lanserte skadevare er at selv om den ødelegger data og sletter partisjoner, forstyrrer den ikke domenekontrollere. Domenekontrollere er delene av et nettverk som er ansvarlig for å håndtere autentiseringsforespørsler og få tilgang til domeneressursene på et gitt nettverk. Dette kan bety at verktøyet er ment å gi operatørene utvidet tilgang til de kompromitterte systemene, sammen med hovedoppgaven med å slette data.
CaddyWiper sprer seg til tidligere kompromitterte nettverk
Verktøyet som ble misbrukt for å spre CaddyWiper ble funnet å være Microsoft Group Policy Objects eller GPOer. I minst ett tilfelle av et kompromittert nettverk ble imidlertid standard GPO brukt til å spre skadelig programvare. Dette i seg selv antyder at uansett hvilken tredjepart som driver CaddyWiper, allerede hadde fått uautorisert tilgang til nettverkets Active Directory-tjenester.
De to tidligere truende verktøyene som ble brukt de siste ukene i nettangrep mot ukrainske mål ble kalt HermeticWiper og IsaacWiper . Begge verktøyene hadde destruktive evner, men delte ikke meningsfulle likheter med den nyeste CaddyWiper når det kommer til kode.
Sammen med rapportene om at CaddyWiper-verktøyet ble brukt i Ukraina, skapte nok et cyberangrep overskrifter, denne gangen rettet mot det russiske oljeselskapet Rosneft. Et tysk datterselskap av Rosneft ble angivelig angrepet av det internasjonale hacktivist-kollektivet kjent som Anonymous. Rapporter sier at 20 TB med data ble eksfiltrert i angrepet. Tyske myndigheter etterforsker angrepet. Rosneft Deutschland-anleggene har ikke blitt berørt.