CaddyWiper: nog een andere malware voor het wissen van gegevens gericht op Oekraïense netwerken

Data Wiping Malware Nachrichten

Twee weken nadat details naar voren kwamen over een tweede stam van de gegevenswisser die werd geleverd bij aanvallen op Oekraïne, is er nog een andere destructieve malware gedetecteerd tijdens de aanhoudende militaire invasie van Rusland in het land.

Slowaaks cyberbeveiligingsbedrijf ESET noemde de derde wisser “CaddyWipercaddy.exe“) laat zien dat de malware om 07:19 uur UTC is gecompileerd, iets meer dan twee uur voor de implementatie.

CaddyWiper valt op door het feit dat het geen overeenkomsten vertoont met eerder ontdekte wissers in Oekraïne, waaronder HermeticWiper (ook bekend als FoxBlade of KillDisk) en IsaacWiper (ook bekend als Lasainraw), die twee zijn ingezet in systemen van de overheid en commerciële bedrijven. entiteiten.

“Het uiteindelijke doel van de aanvallers is de dezelfde zoals met IsaacWiper en HermeticWiper: maak de systemen onbruikbaar door gebruikersgegevens en partitie-informatie te wissen”, vertelde Jean-Ian Boutin¸ hoofd van bedreigingsonderzoek bij ESET aan The Hacker News. “Alle organisaties die het doelwit waren van de recente wisseraanvallen waren in de overheid of de financiële sector.”

In tegenstelling tot CaddyWiper zouden zowel de HermeticWiper- als de IsaacWiper-malwarefamilie maanden van tevoren in ontwikkeling zijn geweest voordat ze werden uitgebracht, waarbij de oudste bekende voorbeelden werden gecompileerd op respectievelijk 28 december en 19 oktober 2021.

Malware voor het wissen van gegevens

Maar de nieuw ontdekte wisser deelt een tactische overlap met HermeticWiper doordat de malware in één geval werd ingezet via de Windows-domeincontroller, wat aangeeft dat de aanvallers de controle over de Active Directory-server hadden overgenomen.

“Interessant is dat CaddyWiper het vernietigen van gegevens op domeincontrollers vermijdt”, aldus het bedrijf. “Dit is waarschijnlijk een manier voor de aanvallers om hun toegang binnen de organisatie te behouden en toch de operaties te verstoren.”

De wiper is geprogrammeerd om systematisch alle bestanden in “C:Users” te vernietigen, voordat hij doorgaat naar de volgende stationsletter en het wissen van de bestanden totdat het de “Z”-schijf bereikt, wat betekent dat CaddyWiper ook zal proberen om elke op het netwerk toegewezen schijf die op het systeem is aangesloten, te wissen.

“Het bestandsvernietigingsalgoritme bestaat uit twee fasen: een eerste fase om bestanden te overschrijven en een andere om de fysieke schijflay-out en de partitietabellen te vernietigen”, aldus Cisco Talos-onderzoekers. zei in een analyse van de malware. “Het vernietigen van het begin van de bestanden en de partitietabellen is een veel voorkomende techniek die bij andere wipers wordt gebruikt, en het is zeer effectief in het voorkomen van bestandsherstel.”

Microsoft, dat de HermeticWiper-aanvallen heeft toegeschreven aan een dreigingscluster dat wordt gevolgd als DEV-0665, zei dat het “beoogde doel van deze aanvallen de verstoring, degradatie en vernietiging van gerichte bronnen” in het land is.

De ontwikkeling komt ook op het moment dat cybercriminelen opportunistisch en in toenemende mate hebben geprofiteerd van het conflict om phishing-lokmiddelen te ontwerpen, waaronder thema’s van humanitaire hulp en verschillende soorten fondsenwerving, om een ​​verscheidenheid aan achterdeurtjes zoals Remcos te leveren.

“De wereldwijde belangstelling voor de aanhoudende oorlog in Oekraïne maakt het een handig en effectief nieuwsevenement voor cybercriminelen om uit te buiten”, Cisco Talos-onderzoekers zei. “Als een bepaald onderwerp van lokaas de kans vergroot dat een potentieel slachtoffer zijn payload installeert, zullen ze het gebruiken.”

Maar het is niet alleen Oekraïne dat aan de ontvangende kant is geweest van wisseraanvallen. Vorige week maakte cyberbeveiligingsbedrijf Trend Micro details bekend van een op .NET gebaseerde wiper genaamd RUAnsom die zich uitsluitend heeft gericht op entiteiten in Rusland door de bestanden te versleutelen met een willekeurig gegenereerde cryptografische sleutel.

“De sleutels zijn uniek voor elk versleuteld bestand en worden nergens opgeslagen, waardoor de versleuteling onomkeerbaar is en de malware wordt gemarkeerd als een wisser in plaats van een ransomware-variant”, merkten de onderzoekers op.

David
Rate author
Hackarizona