CaddyWiper атакует украинские организации и удаляет данные со всех систем в скомпрометированных сетях.
Специалисты ESET Research Labs обнаружили новое вредоносное ПО для уничтожения данных CaddyWiper, атакующее украинские организации и удаляющие данные со всех систем в скомпрометированных сетях.
«Новый вредонос стирает пользовательские данные и информацию с разделов съемных дисков. Судя по телеметрии ESET, он заразил несколько десятков систем в ограниченном количестве организаций», — сообщили исследователи.
Разработанный специально для уничтожения данных на доменах Windows, CaddyWiper использует функцию DsRoleGetPrimaryDomainInformation() для проверки, не является ли зараженное устройство контроллером домена, и если является, данные с него стираться не будут.
Скорее всего, такая тактика позволяет злоумышленниками сохранять доступ к скомпрометированным сетям организаций и при этом сильно нарушать их работу, стирая данные с других важных устройств.
В ходе анализа заголовка вредоносного PE-файла, вывяленного в сети одной из украинских организаций, исследователи обнаружили, что вредоносное ПО использовалось в атаке в тот же день, когда было скомпилировано.
По словам специалистов, код CaddyWiper не похож на код HermeticWiper, IsaacWiper или какой-либо другой известной вредоносной программы. Однако, как и HermeticWiper, он развертывался через объекты групповых политик, а значит, у хакеров уже заранее был контроль над атакуемой сетью.
CaddyWiper – четвертый по счету вайпер, применявшийся в атаках на Украину с начала 2022 года. 23 февраля, за день до ввода российских войск на территорию страны, исследователи ESET обнаружили вредоносное ПО для уничтожения данных HermeticWiper, использовавшее приманку-вымогатель.
Кроме того, специалисты выявили вайпер IsaacWiper и новый червь HermeticWizard, использовавшийся в тот же день в качестве дроппера для HermeticWiper.
Ранее исследователи из Microsoft также обнаружили вайпер WhisperGate, замаскированный под вымогательское ПО и развертывавшееся в атаках на украинские организации в середине января нынешнего года.
Источник: securitylab