В Украине обнаружен новый компьютерный вирус CaddyWiper
20.03.2022 326 0
В прошлый понедельник аналитики по кибербезопасности Eset обнаружили новое вредоносное программное обеспечение, которое используется для атак на организации в Украине. Злонамеренное программное обеспечение, называемое CaddyWiper, стирает данные и информацию пользователя с подключенных дисков. Это было проверено, по словам компании, «на десятках систем в ограниченном количестве организаций».
Созданный для стирания данных в домене Windows — он определяется как Win32/KillDisk.ncx — CaddyWiper не имеет существенного сходства с HermeticWiper или IsaacWiper, другими двумя вредоносными программами типа wiper, которые преследовали украинские организации с начала войны с россией. По словам Eset, злонамеренное программное обеспечение, происхождение которого неизвестно, было загружено в тот же день, когда оно было сделано.
«Из имеющейся на сегодняшний день информации мы в Eset не обнаружили никаких ощутимых связей с известным субъектом угрозы; поэтому мы не могли совершить атрибуцию», – объясняет руководитель исследовательской лаборатории Eset в Латинской Америке Камило Гутьеррес Амайя. «Стоит отметить, что это не первый случай, когда мы видим атаки с использованием вредоносного кода в Украине, в 2016 году мы обнаружили такие угрозы как BlackEnergy или Industryroyer в 2017 году, которые были направлены на критическую инфраструктуру, такую как водоснабжение, электроэнергия и газ».
Хотя это очиститель данных, CaddyWiper также использует функцию DsRoleGetPrimaryDomainInformation(), чтобы проверить, является ли устройство контроллером. В этом случае данные на контроллере домена не удаляются. Вероятно, это тактика, используемая киберпреступниками, чтобы сохранить доступ к сломанным сетям, одновременно сломав другие критические устройства.
Украина под прицелом хакеров
В этом году исследователи Eset уже в третий раз обнаружили беспрецедентную выборку вредоносного ПО, направленного на организации в Украине. В преддверии взлома телеметрия компании обнаружила HermeticWiper в сетях нескольких резонансных украинских организаций. Также были проверены стиратели данных под названием IsaacWiper и червь под названием HermeticWizard. На последнем киберпреступнике использовали его для распространения HermeticWiper в сетях Украины.
Также в этом году Whispergate, еще один очиститель данных, уничтожил сети нескольких организаций страны. Обнаруженное Microsoft, злонамеренное программное обеспечение очищало файлы данных в выбранных каталогах на компьютерах жертв вместо шифрования их. Впоследствии файлы с разными расширениями — .docx, .html, .java и другие — были заменены на 1 МБ символов I (0xcc в шестнадцатеричном).
Все эти кампании являются частью длинной серии кибератак вредоносного программного обеспечения, атаковавших Украину на протяжении последних восьми лет. В этот период Украина была объектом широко разрушительных атак, в частности, атаки NotPetya, которая проникла в сети нескольких компаний в Украине в 2017 году, прежде чем распространиться на другие страны.
«Использование этого типа вредоносного кода характеризует возможность того, что компания или критическая инфраструктура страны могут пострадать от атаки вредоносного кода», – говорит Гутьеррес Амайя. «Важно принять меры предосторожности, если эти угрозы становятся популярными и используются в целях требования, как это наблюдается с эволюцией программ-требователей».
Созданный для стирания данных в домене Windows — он определяется как Win32/KillDisk.ncx — CaddyWiper не имеет существенного сходства с HermeticWiper или IsaacWiper, другими двумя вредоносными программами типа wiper, которые преследовали украинские организации с начала войны с россией. По словам Eset, злонамеренное программное обеспечение, происхождение которого неизвестно, было загружено в тот же день, когда оно было сделано.
«Из имеющейся на сегодняшний день информации мы в Eset не обнаружили никаких ощутимых связей с известным субъектом угрозы; поэтому мы не могли совершить атрибуцию», – объясняет руководитель исследовательской лаборатории Eset в Латинской Америке Камило Гутьеррес Амайя. «Стоит отметить, что это не первый случай, когда мы видим атаки с использованием вредоносного кода в Украине, в 2016 году мы обнаружили такие угрозы как BlackEnergy или Industryroyer в 2017 году, которые были направлены на критическую инфраструктуру, такую как водоснабжение, электроэнергия и газ».
Хотя это очиститель данных, CaddyWiper также использует функцию DsRoleGetPrimaryDomainInformation(), чтобы проверить, является ли устройство контроллером. В этом случае данные на контроллере домена не удаляются. Вероятно, это тактика, используемая киберпреступниками, чтобы сохранить доступ к сломанным сетям, одновременно сломав другие критические устройства.
Украина под прицелом хакеров
В этом году исследователи Eset уже в третий раз обнаружили беспрецедентную выборку вредоносного ПО, направленного на организации в Украине. В преддверии взлома телеметрия компании обнаружила HermeticWiper в сетях нескольких резонансных украинских организаций. Также были проверены стиратели данных под названием IsaacWiper и червь под названием HermeticWizard. На последнем киберпреступнике использовали его для распространения HermeticWiper в сетях Украины.
Также в этом году Whispergate, еще один очиститель данных, уничтожил сети нескольких организаций страны. Обнаруженное Microsoft, злонамеренное программное обеспечение очищало файлы данных в выбранных каталогах на компьютерах жертв вместо шифрования их. Впоследствии файлы с разными расширениями — .docx, .html, .java и другие — были заменены на 1 МБ символов I (0xcc в шестнадцатеричном).
Все эти кампании являются частью длинной серии кибератак вредоносного программного обеспечения, атаковавших Украину на протяжении последних восьми лет. В этот период Украина была объектом широко разрушительных атак, в частности, атаки NotPetya, которая проникла в сети нескольких компаний в Украине в 2017 году, прежде чем распространиться на другие страны.
«Использование этого типа вредоносного кода характеризует возможность того, что компания или критическая инфраструктура страны могут пострадать от атаки вредоносного кода», – говорит Гутьеррес Амайя. «Важно принять меры предосторожности, если эти угрозы становятся популярными и используются в целях требования, как это наблюдается с эволюцией программ-требователей».
Комментарии
Читайте также: