Nowe szkodliwe oprogramowanie niszczące wykorzystywane w cyberatakach na Ukrainie

W miarę, jak trwa wojna na Ukrainie, doniesienia o ostatnich zniszczeniach w stolicy Kijowa i godzinie policyjnej narzuconej przez tamtejszego burmistrza, bitwa trwa również w cyberprzestrzeni. Badacze bezpieczeństwa poinformowali wczoraj, że w wielu ukraińskich sieciach wykryto nowy szczep destrukcyjnego złośliwego oprogramowania.

Nowe złośliwe oprogramowanie działa jak wycieraczka, nie próbując eksfiltrować danych ani ich zaszyfrować, tak jak robi to ransomware. Zamiast tego groźne narzędzia do wycierania po prostu usuwają wszystko, co mogą, i czyszczą przestrzeń, aby zapobiec odzyskiwaniu danych.

CaddyWiper usuwa pliki, partycje

Nowo odkryte narzędzie zostało nazwane CaddyWiper i opisane w poście na Twitterze przez badaczy szkodliwego oprogramowania. Jest to trzecia groźna wycieraczka odkryta na wolności na Ukrainie od początku konfliktu zbrojnego w tym kraju. Co ciekawe, okazało się, że ładunek CaddyWipera był zupełnie nowy i skompilowany tego samego dnia, w którym został użyty do atakowania systemów na Ukrainie.

Innym interesującym szczegółem dotyczącym nowo wprowadzonego szkodliwego oprogramowania jest to, że chociaż niszczy dane i usuwa partycje, nie ingeruje w kontrolery domeny. Kontrolery domeny to części sieci odpowiedzialne za obsługę żądań uwierzytelnienia i dostęp do zasobów domeny w danej sieci. Może to sugerować, że narzędzie ma na celu zapewnienie operatorom rozszerzonego dostępu do zaatakowanych systemów wraz z głównym zadaniem usuwania danych.

CaddyWiper rozprzestrzenia się na wcześniej zagrożone sieci

Narzędziem nadużywanym do rozpowszechniania CaddyWipera były obiekty zasad grupy firmy Microsoft lub obiekty GPO. Jednak w co najmniej jednym przypadku zaatakowanej sieci do rozprzestrzeniania złośliwego oprogramowania wykorzystano domyślny obiekt GPO. To samo w sobie sugeruje, że jakakolwiek inna firma, która obsługuje CaddyWiper, uzyskała już nieautoryzowany dostęp do sieciowych usług Active Directory.

Dwa poprzednie groźne narzędzia wykorzystywane w ostatnich tygodniach w cyberatakach na ukraińskie cele nosiły nazwy HermeticWiper i IsaacWiper. Oba narzędzia miały destrukcyjne możliwości, ale nie dzieliły znaczących podobieństw z najnowszym CaddyWiperem, jeśli chodzi o kod.

Wraz z doniesieniami o użyciu narzędzia CaddyWiper na Ukrainie na pierwszych stronach gazet pojawił się kolejny cyberatak, tym razem skierowany do rosyjskiego koncernu naftowego Rosnieft. Niemiecka filia Rosnieftu została podobno zaatakowana przez międzynarodowy kolektyw haktywistów znany jako Anonymous. Raporty podają, że podczas ataku eksfiltrowano 20 TB danych. Władze niemieckie prowadzą śledztwo w sprawie ataku. Obiekty Rosneft Deutschland nie zostały naruszone.