- 14 марта 2022
Недавно обнаруженное вредоносное ПО, уничтожающее данные, было замечено ранее сегодня в атаках на украинские организации и удалении данных из систем в скомпрометированных сетях.
«Эта новая вредоносная программа стирает пользовательские данные и информацию о разделах с подключенных дисков», — пояснили в исследовательской лаборатории ESET .
«Телеметрия ESET показывает, что она была замечена на нескольких десятках систем в ограниченном числе организаций».
Хотя CaddyWiper предназначен для стирания данных в доменах Windows, на которых он развернут, он будет использовать функцию DsRoleGetPrimaryDomainInformation(), чтобы проверить, является ли устройство контроллером домена. Если это так, данные на контроллере домена не будут удалены.
Скорее всего, это тактика, используемая злоумышленниками для сохранения доступа к скомпрометированным сетям организаций, в которые они попали, при этом сильно нарушая работу, стирая другие важные устройства.
При анализе PE-заголовка образца вредоносного ПО, обнаруженного в сети неизвестной украинской организации, также было обнаружено, что вредоносное ПО было развернуто в атаках в тот же день, когда оно было скомпилировано.
«CaddyWiper не имеет значительного сходства кода с HermeticWiper, IsaacWiper или любым другим известным нам вредоносным ПО. Проанализированный нами образец не имел цифровой подписи», — добавили в ESET.
«Подобно развертыванию HermeticWiper, мы наблюдали развертывание CaddyWiper через GPO, что указывает на то, что злоумышленники заранее получили контроль над сетью цели».
Дата компиляции CaddyWiper ( ESET )
Четвертый вайпер данных развернут в Украине в этом году
CaddyWiper — это четвертая вредоносная программа для очистки данных, развернутая в атаках в Украине с начала 2022 года. Ранее аналитики ESET Research Labs обнаружили еще две, а Microsoft — третью.За день до начала российского вторжения в Украину, 23 февраля, исследователи ESET обнаружили вредоносное ПО для удаления данных , теперь известное как HermeticWiper , которое использовалось для атаки на Украину вместе с ложными программами- вымогателями .
Они также обнаружили очиститель данных, который они назвали IsaacWiper , и новый червь под названием HermeticWizard, который злоумышленники использовали для сброса полезной нагрузки очистителя HermeticWiper, развернутый в день вторжения России в Украину.
Microsoft также обнаружила вайпер, который теперь отслеживается как WhisperGate и использовался в атаках на Украину в середине января, замаскированных под программы-вымогатели.
Как заявил президент и вице-председатель Microsoft Брэд Смит, эти продолжающиеся атаки с использованием деструктивного вредоносного ПО на украинские организации «имеют точную цель».
Это контрастирует с неизбирательной всемирной атакой вредоносных программ NotPetya, которая поразила Украину и другие страны в 2017 году, атака, позже связанная с Sandworm, хакерской группой Главного разведывательного управления ГРУ России.
Такие разрушительные атаки являются частью « массовой волны гибридной войны », как описала их Служба безопасности Украины (СБУ) непосредственно перед началом войны.
Перевод - Google
Bleeping Computer