Ένα νέο κακόβουλο λογισμικό με την ονομασία CaddyWiper, που καταστρέφει δεδομένα, ανακαλύφθηκε ότι στοχεύει ουκρανικούς οργανισμούς, διαγράφοντας δεδομένα σε συστήματα σε παραβιασμένα δίκτυα.
Δείτε επίσης: Malware στοχεύει υποστηρικτές και μέλη του IT Army της Ουκρανίας
«Αυτό το νέο κακόβουλο λογισμικό διαγράφει δεδομένα χρήστη και πληροφορίες από συνδεδεμένες μονάδες δίσκου», εξήγησε η ESET Research Labs.
Ενώ έχει σχεδιαστεί για να «σκουπίζει» δεδομένα σε τομείς των Windows στους οποίους έχει αναπτυχθεί, το CaddyWiper θα χρησιμοποιήσει τη συνάρτηση DsRoleGetPrimaryDomainInformation() για να ελέγξει εάν μια συσκευή είναι ελεγκτής τομέα. Εάν ναι, τα δεδομένα στον ελεγκτή τομέα δεν θα διαγραφούν.
Αυτή είναι πιθανότατα μια τακτική που χρησιμοποιείται από τους εισβολείς για να διατηρήσουν την πρόσβαση στα παραβιασμένα δίκτυα των οργανισμών που χτυπούν.
“Το CaddyWiper δεν έχει καμία σημαντική ομοιότητα κώδικα με τα HermeticWiper, IsaacWiper ή οποιοδήποτε άλλο κακόβουλο λογισμικό που είναι γνωστό σε εμάς. Το δείγμα που αναλύσαμε δεν είχε ψηφιακή υπογραφή“, πρόσθεσε η ESET.
“Ομοίως με τις αναπτύξεις του HermeticWiper, παρατηρήσαμε ότι το CaddyWiper αναπτύσσεται μέσω GPO, υποδεικνύοντας ότι οι εισβολείς είχαν εκ των προτέρων έλεγχο του δικτύου του στόχου.“
Δείτε ακόμα: Έκρηξη στις επιθέσεις mobile malware – τι πρέπει να προσέξετε
Το CaddyWiper είναι το τέταρτο κακόβουλο λογισμικό Wiper που αναπτύχθηκε σε επιθέσεις στην Ουκρανία από τις αρχές του 2022, με τους αναλυτές της ESET Research Labs να έχουν ανακαλύψει άλλα δύο και τη Microsoft ένα ακόμα.
Μία ημέρα πριν από την έναρξη της ρωσικής εισβολής στην Ουκρανία, στις 23 Φεβρουαρίου, οι ερευνητές της ESET εντόπισαν ένα κακόβουλο λογισμικό που «σκουπίζει» δεδομένα, πλέον γνωστό ως HermeticWiper, το οποίο χρησιμοποιείται για να στοχεύει την Ουκρανία μαζί με δολώματα ransomware.
Ανακάλυψαν επίσης ένα Wiper δεδομένων που ονόμασαν IsaacWiper και ένα νέο worm με το όνομα HermeticWizard που χρησιμοποίησαν οι εισβολείς για να ρίξουν ωφέλιμα φορτία HermeticWiper, που αναπτύχθηκε την ημέρα που η Ρωσία εισέβαλε στην Ουκρανία.
Η Microsoft βρήκε επίσης ένα Wiper που τώρα είναι γνωστό ως WhisperGate, που χρησιμοποιείται σε επιθέσεις σκουπίσματος δεδομένων κατά της Ουκρανίας στα μέσα Ιανουαρίου, μεταμφιεσμένο ως ransomware.
Δείτε επίσης: Καμπάνια malware υποδύεται εταιρεία που θέλει να αγοράσει ιστότοπους
Όπως είπε ο Πρόεδρος και Αντιπρόεδρος της Microsoft, Brad Smith, αυτές οι συνεχιζόμενες επιθέσεις με καταστροφικό κακόβουλο λογισμικό εναντίον ουκρανικών οργανισμών «έχουν στοχοποιηθεί με ακρίβεια».
Τέτοιες καταστροφικές επιθέσεις αποτελούν μέρος ενός «μαζικού κύματος υβριδικού πολέμου», όπως τις περιέγραψε η Ουκρανική Υπηρεσία Ασφαλείας (SSU) ακριβώς πριν ξεκινήσει ο πόλεμος.
