CaddyWiper атакует украинские организации и удаляет данные со всех систем в скомпрометированных сетях.

Специалисты ESET Research Labs обнаружили новое вредоносное ПО для уничтожения данных CaddyWiper, атакующее украинские организации и удаляющие данные со всех систем в скомпрометированных сетях.

«Новый вредонос стирает пользовательские данные и информацию с разделов съемных дисков. Судя по телеметрии ESET, он заразил несколько десятков систем в ограниченном количестве организаций», — сообщили исследователи.

Разработанный специально для уничтожения данных на доменах Windows, CaddyWiper использует функцию DsRoleGetPrimaryDomainInformation() для проверки, не является ли зараженное устройство контроллером домена, и если является, данные с него стираться не будут.

Скорее всего, такая тактика позволяет злоумышленниками сохранять доступ к скомпрометированным сетям организаций и при этом сильно нарушать их работу, стирая данные с других важных устройств.

В ходе анализа заголовка вредоносного PE-файла, вывяленного в сети одной из украинских организаций, исследователи обнаружили, что вредоносное ПО использовалось в атаке в тот же день, когда было скомпилировано.

По словам специалистов, код CaddyWiper не похож на код HermeticWiper, IsaacWiper или какой-либо другой известной вредоносной программы. Однако, как и HermeticWiper, он развертывался через объекты групповых политик, а значит, у хакеров уже заранее был контроль над атакуемой сетью.

CaddyWiper – четвертый по счету вайпер, применявшийся в атаках на Украину с начала 2022 года. 23 февраля, за день до ввода российских войск на территорию страны, исследователи ESET обнаружили вредоносное ПО для уничтожения данных HermeticWiper, использовавшее приманку-вымогатель.

Кроме того, специалисты выявили вайпер IsaacWiper и новый червь HermeticWizard, использовавшийся в тот же день в качестве дроппера для HermeticWiper.

Ранее исследователи из Microsoft также обнаружили вайпер WhisperGate, замаскированный под вымогательское ПО и развертывавшееся в атаках на украинские организации в середине января нынешнего года.

Источник: securitylab