Malware i ri shkatërrues i përdorur në sulmet kibernetike në Ukrainë
Ndërsa lufta në Ukrainë vazhdon, me raportet për shkatërrimin e fundit në kryeqytetin e Kievit dhe një shtetrrethim të vendosur nga kryetari i bashkisë lokale, beteja vazhdon edhe në hapësirën kibernetike. Studiuesit e sigurisë raportuan dje se një lloj i ri malware shkatërrues është vërejtur në rrjete të shumta ukrainase.
Malware i ri funksionon si një fshirës, duke mos u përpjekur të ekfiltrojë të dhëna ose t'i kodojë ato siç bën ransomware. Në vend të kësaj, mjetet kërcënuese të fshirësit thjesht fshijnë gjithçka që munden dhe pastrojnë hapësirën për të parandaluar rikuperimin e të dhënave.
CaddyWiper fshin skedarët, ndarjet
Mjeti i sapo zbuluar është quajtur CaddyWiper dhe është detajuar në një postim në Twitter nga studiues të malware. Ky është fshirësi i tretë kërcënues që është zbuluar në natyrë në Ukrainë që nga fillimi i konfliktit ushtarak në vend. Çuditërisht, doli që ngarkesa e CaddyWiper ishte krejt e re dhe e përpiluar në të njëjtën ditë kur u përdor për të sulmuar sistemet në Ukrainë.
Një tjetër detaj interesant në lidhje me malware-in e sapolançuar është se ndërsa shkatërron të dhënat dhe fshin ndarjet, ai nuk ndërhyn me kontrolluesit e domenit. Kontrolluesit e domenit janë pjesët e një rrjeti që është përgjegjës për trajtimin e kërkesave të vërtetimit dhe aksesin në burimet e domenit në një rrjet të caktuar. Kjo mund të nënkuptojë se mjeti ka për qëllim t'u japë operatorëve të tij akses të zgjeruar në sistemet e komprometuara, së bashku me detyrën kryesore të fshirjes së të dhënave.
CaddyWiper përhapet në rrjete të komprometuara më parë
Mjeti i abuzuar për përhapjen e CaddyWiper u zbulua se ishte objekte të politikave të grupit të Microsoft ose GPO. Megjithatë, në të paktën një rast të një rrjeti të komprometuar, GPO e tij e paracaktuar është përdorur për të përhapur malware. Kjo, në vetvete, sugjeron që cilado palë e tretë që operon CaddyWiper, kishte fituar tashmë akses të paautorizuar në shërbimet e Active Directory të rrjetit.
Dy mjetet e mëparshme kërcënuese të përdorura javët e fundit në sulmet kibernetike kundër objektivave të Ukrainës quheshin HermeticWiper dhe IsaacWiper . Të dy mjetet kishin aftësi shkatërruese, por nuk kishin ngjashmëri domethënëse me CaddyWiper-in më të fundit kur bëhet fjalë për kodin.
Së bashku me raportimet e përdorimit të mjetit CaddyWiper në Ukrainë, një tjetër sulm kibernetik u bë kryefjalë, këtë herë drejtuar kompanisë ruse të naftës Rosneft. Një degë gjermane e Rosneft thuhet se u sulmua nga kolektivi ndërkombëtar haktivist i njohur si Anonymous. Raportet thonë se 20 TB të dhëna u ekfiltruan në sulm. Autoritetet gjermane po hetojnë sulmin. Objektet e Rosneft Deutschland nuk janë prekur.