สิทธิ์ใช้งานหลายอุปกรณ์ (ส่วนลดตามปริมาณ)
Computer Security มัลแวร์ทำลายล้างรูปแบบใหม่ที่ใช้ในการโจมตีทางไซเบอร์ในยูเครน

มัลแวร์ทำลายล้างรูปแบบใหม่ที่ใช้ในการโจมตีทางไซเบอร์ในยูเครน

โดย GoldSparrow ใน Computer Security
แปลเป็น:
ภาษาไทย

ในขณะที่สงครามในยูเครนยังคงดำเนินต่อไป โดยมีรายงานความหายนะครั้งล่าสุดในเมืองหลวงของ Kyiv และเคอร์ฟิวที่กำหนดโดยนายกเทศมนตรีท้องถิ่น การสู้รบยังเดือดดาลในโลกไซเบอร์เช่นกัน นักวิจัยด้านความปลอดภัยรายงานเมื่อวานนี้ว่ามีการตรวจพบมัลแวร์ทำลายล้างสายพันธุ์ใหม่ในเครือข่ายยูเครนหลายแห่ง

มัลแวร์ตัวใหม่ทำหน้าที่เป็นตัวปัดน้ำฝน ไม่พยายามกรองข้อมูลหรือเข้ารหัสข้อมูลเหมือนที่แรนซัมแวร์ทำ เครื่องมือปัดน้ำฝนที่คุกคามจะลบทุกอย่างที่ทำได้และล้างพื้นที่ทั้งหมดเพื่อป้องกันการกู้คืนข้อมูล

CaddyWiper ลบไฟล์ พาร์ติชั่น

เครื่องมือที่ค้นพบใหม่นี้ได้รับการขนานนามว่า CaddyWiper และมีรายละเอียดในโพสต์ Twitter โดยนักวิจัยมัลแวร์ นี่เป็นการคุกคามครั้งที่สามที่ถูกค้นพบในป่าในยูเครนตั้งแต่เริ่มเกิดความขัดแย้งทางทหารในประเทศ น่าแปลกที่มันกลายเป็นว่าเพย์โหลดของ CaddyWiper เป็นสินค้าใหม่และรวบรวมในวันเดียวกับที่ใช้โจมตีระบบในยูเครน

รายละเอียดที่น่าสนใจอีกประการหนึ่งเกี่ยวกับมัลแวร์ที่เพิ่งเปิดตัวใหม่คือในขณะที่มันทำลายข้อมูลและลบพาร์ติชั่น มันจะไม่รบกวนตัวควบคุมโดเมน ตัวควบคุมโดเมนเป็นส่วนหนึ่งของเครือข่ายที่รับผิดชอบในการจัดการคำขอตรวจสอบสิทธิ์และเข้าถึงทรัพยากรของโดเมนในเครือข่ายที่กำหนด ซึ่งอาจหมายความว่าเครื่องมือนี้มีจุดมุ่งหมายเพื่อให้ผู้ปฏิบัติงานสามารถเข้าถึงระบบที่ถูกบุกรุกได้ยาวนานขึ้น พร้อมกับงานหลักในการล้างข้อมูล

CaddyWiper แพร่กระจายไปยังเครือข่ายที่ถูกบุกรุกก่อนหน้านี้

เครื่องมือที่ใช้ในทางที่ผิดสำหรับการแพร่กระจาย CaddyWiper พบว่าเป็น Microsoft Group Policy Objects หรือ GPO อย่างไรก็ตาม อย่างน้อยหนึ่งอินสแตนซ์ของเครือข่ายที่ถูกบุกรุก GPO เริ่มต้นถูกใช้เพื่อเผยแพร่มัลแวร์ โดยตัวมันเองแสดงให้เห็นว่าไม่ว่าบุคคลที่สามกำลังใช้งาน CaddyWiper อยู่ ได้รับการเข้าถึงบริการ Active Directory ของเครือข่ายโดยไม่ได้รับอนุญาตแล้ว

เครื่องมือคุกคามสองอย่างก่อนหน้านี้ที่ใช้ในการโจมตีทางอินเทอร์เน็ตต่อเป้าหมายของยูเครนในช่วงไม่กี่สัปดาห์ที่ผ่านมาเรียกว่า HermeticWiper และ IsaacWiper เครื่องมือทั้งสองมีความสามารถในการทำลายล้าง แต่ไม่ได้แบ่งปันความคล้ายคลึงที่มีความหมายกับ CaddyWiper ล่าสุดเมื่อพูดถึงโค้ด

พร้อมกับรายงานของเครื่องมือ CaddyWiper ที่ใช้ในยูเครน การโจมตีทางไซเบอร์อีกรายการหนึ่งกลายเป็นหัวข้อข่าว คราวนี้มุ่งเป้าไปที่บริษัทน้ำมันของรัสเซีย Rosneft มีรายงานว่า บริษัทลูกในเยอรมนีของ Rosneft ถูกโจมตีโดยกลุ่มแฮ็กทิวิสต์นานาชาติที่รู้จักกันในชื่อ Anonymous รายงานระบุว่าข้อมูล 20TB ถูกขโมยไปในการโจมตี ทางการเยอรมันกำลังสืบสวนการโจมตีดังกล่าว โรงงานของ Rosneft Deutschland ไม่ได้รับผลกระทบ

กำลังโหลด...