Новое деструктивное вредоносное ПО, используемое в кибератаках на Украину
Поскольку война в Украине продолжается, с сообщениями о последних разрушениях в столице Киеве и комендантском часе, введенном местным мэром, битва бушует и в киберпространстве. Вчера исследователи безопасности сообщили, что в нескольких украинских сетях был обнаружен новый штамм деструктивного вредоносного ПО.
Новая вредоносная программа работает как очиститель, а не пытается эксфильтровать данные или зашифровать их, как это делает программа-вымогатель. Вместо этого угрожающие инструменты очистки просто удаляют все, что могут, и очищают пространство, чтобы предотвратить восстановление данных.
CaddyWiper удаляет файлы, разделы
Недавно обнаруженный инструмент получил название CaddyWiper и подробно описан в сообщении Twitter исследователей вредоносных программ. Это третий опасный дворник, обнаруженный в дикой природе на Украине с начала военного конфликта в стране. Любопытно, что полезная нагрузка CaddyWiper была совершенно новой и скомпилирована в тот же день, когда она использовалась для атаки систем в Украине.
Еще одна интересная деталь недавно запущенной вредоносной программы заключается в том, что она уничтожает данные и удаляет разделы, но не мешает работе контроллеров домена. Контроллеры домена — это части сети, отвечающие за обработку запросов аутентификации и доступ к ресурсам домена в данной сети. Это может означать, что инструмент предназначен для предоставления своим операторам расширенного доступа к скомпрометированным системам, наряду с основной задачей удаления данных.
CaddyWiper распространяется на ранее скомпрометированные сети
Инструмент, используемый для распространения CaddyWiper, оказался объектами групповой политики Microsoft или объектами групповой политики. Однако по крайней мере в одном экземпляре скомпрометированной сети объект групповой политики по умолчанию использовался для распространения вредоносного ПО. Это само по себе предполагает, что какая-либо третья сторона, использующая CaddyWiper, уже получила несанкционированный доступ к сетевым службам Active Directory.
Два предыдущих угрожающих инструмента, использовавшихся в последние недели в кибератаках на украинские цели, назывались HermeticWiper и IsaacWiper . Оба инструмента имели разрушительные возможности, но не имели существенного сходства с последней версией CaddyWiper, когда дело доходит до кода.
Вместе с сообщениями об использовании инструмента CaddyWiper в Украине в заголовки попала еще одна кибератака, на этот раз направленная против российской нефтяной компании «Роснефть». Сообщается, что немецкая дочерняя компания «Роснефти» подверглась нападению со стороны международного коллектива хактивистов, известного как Anonymous. В отчетах говорится, что в ходе атаки было украдено 20 ТБ данных. Немецкие власти расследуют нападение. Объекты Rosneft Deutschland не пострадали.