Nieuwe destructieve malware gebruikt bij cyberaanvallen op Oekraïne
Terwijl de oorlog in Oekraïne voortduurt, met berichten over de laatste verwoesting in de hoofdstad Kiev en een avondklok die is ingesteld door de plaatselijke burgemeester, woedt de strijd ook in cyberspace voort. Beveiligingsonderzoekers meldden gisteren dat er een nieuwe soort destructieve malware is gespot in meerdere Oekraïense netwerken.
De nieuwe malware werkt als een wisser en probeert niet gegevens te exfiltreren of te versleutelen zoals ransomware dat doet. In plaats daarvan verwijderen dreigende wiper-tools gewoon alles wat ze kunnen en vegen de ruimte schoon om gegevensherstel te voorkomen.
CaddyWiper verwijdert bestanden, partities
De nieuw ontdekte tool is CaddyWiper genoemd en gedetailleerd beschreven in een Twitter-bericht door malwareonderzoekers. Dit is de derde dreigende wisser die in Oekraïne in het wild is ontdekt sinds het begin van het militaire conflict in het land. Vreemd genoeg bleek het laadvermogen van de CaddyWiper gloednieuw en gecompileerd op dezelfde dag dat het werd gebruikt om systemen in Oekraïne aan te vallen.
Een ander interessant detail over de nieuw gelanceerde malware is dat hoewel het gegevens vernietigt en partities verwijdert, het geen invloed heeft op domeincontrollers. Domeincontrollers zijn de delen van een netwerk die verantwoordelijk zijn voor het afhandelen van authenticatieverzoeken en het verkrijgen van toegang tot de domeinbronnen op een bepaald netwerk. Dit kan betekenen dat de tool bedoeld is om zijn operators uitgebreide toegang te geven tot de aangetaste systemen, naast de hoofdtaak van het wissen van gegevens.
CaddyWiper verspreidt zich naar voorheen gecompromitteerde netwerken
De tool die werd misbruikt voor het verspreiden van CaddyWiper bleek Microsoft Group Policy Objects of GPO's te zijn. In ten minste één geval van een gecompromitteerd netwerk werd echter het standaard GPO gebruikt om de malware te verspreiden. Dit suggereert op zichzelf dat de derde partij die CaddyWiper gebruikt, al ongeautoriseerde toegang heeft gekregen tot de Active Directory-services van het netwerk.
De twee eerdere bedreigende tools die de afgelopen weken werden gebruikt bij cyberaanvallen op Oekraïense doelen, heetten HermeticWiper en IsaacWiper. Beide tools hadden destructieve mogelijkheden, maar hadden geen betekenisvolle overeenkomsten met de nieuwste CaddyWiper als het op code aankomt.
Samen met de berichten over de CaddyWiper-tool die in Oekraïne wordt gebruikt, haalde een andere cyberaanval de krantenkoppen, dit keer gericht tegen de Russische oliemaatschappij Rosneft. Een Duitse dochteronderneming van Rosneft is naar verluidt aangevallen door het internationale hacktivistencollectief Anonymous. Rapporten stellen dat er 20 TB aan gegevens is geëxfiltreerd bij de aanval. Duitse autoriteiten onderzoeken de aanval. De faciliteiten van Rosneft Deutschland zijn niet getroffen.