乌克兰网络攻击中使用的新型破坏性恶意软件

随着乌克兰战争的继续，有报道称首都基辅发生了最新的破坏以及当地市长实施了宵禁，网络空间的战斗也愈演愈烈。安全研究人员昨天报告说，在多个乌克兰网络中发现了一种新的破坏性恶意软件。

新的恶意软件起到了擦除器的作用，而不是像勒索软件那样试图泄露数据或对其进行加密。取而代之的是，威胁擦除工具只是删除所有可以删除的内容并擦除空间以防止数据恢复。

CaddyWiper 删除文件、分区

新发现的工具被称为 CaddyWiper，恶意软件研究人员在 Twitter 帖子中对此进行了详细说明。这是自该国军事冲突开始以来，在乌克兰野外发现的第三个具有威胁性的雨刷器。奇怪的是，CaddyWiper 的有效载荷是全新的，并且是在用于攻击乌克兰系统的同一天编译的。

关于新推出的恶意软件的另一个有趣的细节是，虽然它会破坏数据并删除分区，但它不会干扰域控制器。域控制器是网络的一部分，负责处理身份验证请求和访问给定网络上的域资源。这可能意味着该工具旨在为其操作员提供对受感染系统的扩展访问权限，以及擦除数据的主要任务。

CaddyWiper 传播到以前被入侵的网络

用于传播 CaddyWiper 的工具被发现是 Microsoft 组策略对象或 GPO。然而，在至少一个受感染网络实例中，其默认 GPO 被用于传播恶意软件。这本身就表明，无论第三方运行 CaddyWiper，都已经获得了对网络 Active Directory 服务的未经授权的访问权限。

最近几周在针对乌克兰目标的网络攻击中使用的两个先前的威胁工具被称为HermeticWiper和IsaacWiper 。这两种工具都具有破坏性功能，但在代码方面与最新的 CaddyWiper 没有有意义的相似之处。

连同有关在乌克兰使用 CaddyWiper 工具的报道，另一次网络攻击成为头条新闻，这次是针对俄罗斯石油公司 Rosneft。据报道，Rosneft 的一家德国子公司遭到了国际黑客组织 Anonymous 的攻击。报告称，攻击中泄露了 20TB 的数据。德国当局正在调查这起袭击事件。 Rosneft Deutschland 的设施没有受到影响。