Нове руйнівне зловмисне програмне забезпечення, використане в кібератаках на Україну
Оскільки війна в Україні триває, з повідомленнями про останні руйнування в Києві та комендантську годину, введену місцевим мером, бій триває й у кіберпросторі. Вчора дослідники безпеки повідомили, що в багатьох українських мережах помічено новий тип руйнівного зловмисного програмного забезпечення.
Нове зловмисне програмне забезпечення функціонує як очищувач, а не намагається вилучити дані чи зашифрувати їх, як це робить викуп. Натомість загрозливі інструменти стирання просто видаляють все, що можуть, і очищають простір, щоб запобігти відновленню даних.
CaddyWiper видаляє файли, розділи
Нещодавно відкритий інструмент отримав назву CaddyWiper і детально описано в дописі в Twitter дослідниками шкідливих програм. Це вже третій загрозливий склоочисник, який був виявлений в дикій природі в Україні від початку військового конфлікту в країні. Цікаво, що виявилося, що корисне навантаження CaddyWiper було абсолютно новим і зібрано в той самий день, коли його використовували для атаки на системи в Україні.
Ще одна цікава деталь про щойно запущене шкідливе програмне забезпечення полягає в тому, що, хоча воно знищує дані та видаляє розділи, воно не заважає контролерам домену. Контролери домену — це частини мережі, які відповідають за обробку запитів на аутентифікацію та доступ до ресурсів домену в даній мережі. Це може означати, що інструмент призначений для надання своїм операторам розширеного доступу до скомпрометованих систем разом із основним завданням стирання даних.
CaddyWiper поширюється на раніше скомпрометовані мережі
Було виявлено, що інструмент, яким зловживали для поширення CaddyWiper, є об’єктами групової політики Microsoft або GPO. Проте, принаймні в одному випадку зламаної мережі, її груповий політичний центр за замовчуванням використовувався для поширення зловмисного програмного забезпечення. Це, само по собі, говорить про те, що будь-яка третя сторона, яка використовує CaddyWiper, вже отримала несанкціонований доступ до мережних служб Active Directory.
Два попередні загрозливі інструменти, які використовувалися останніми тижнями в кібератаках проти українських цілей, називалися HermeticWiper та IsaacWiper . Обидва інструменти мали деструктивні можливості, але не мали значущої подібності з останнім CaddyWiper, коли справа доходить до коду.
Разом із повідомленнями про використання інструменту CaddyWiper в Україні в заголовках з’явилася ще одна кібератака, цього разу спрямована на російську нафтову компанію «Роснефть». Повідомляється, що німецька дочірня компанія «Роснефти» зазнала нападу з боку міжнародного хактивістського колективу, відомого як Anonymous. У звітах зазначено, що в результаті атаки було вилучено 20 ТБ даних. Німецька влада розслідує напад. Об'єкти Rosneft Deutschland не постраждали.