16.03.2022 | Обнаружен уже четвертый в этом году вайпер, атакующий украинские организации |
Специалисты ESET Research Labs обнаружили новое вредоносное ПО для уничтожения данных CaddyWiper, атакующее украинские организации и удаляющие данные со всех систем в скомпрометированных сетях. «Новый вредонос стирает пользовательские данные и информацию с разделов съемных дисков. Судя по телеметрии ESET, он заразил несколько десятков систем в ограниченном количестве организаций», - сообщили исследователи. Разработанный специально для уничтожения данных на доменах Windows, CaddyWiper использует функцию DsRoleGetPrimaryDomainInformation() для проверки, не является ли зараженное устройство контроллером домена, и если является, данные с него стираться не будут. Скорее всего, такая тактика позволяет злоумышленниками сохранять доступ к скомпрометированным сетям организаций и при этом сильно нарушать их работу, стирая данные с других важных устройств. В ходе анализа заголовка вредоносного PE-файла, выявленного в сети одной из украинских организаций, исследователи обнаружили, что вредоносное ПО использовалось в атаке в тот же день, когда было скомпилировано. По словам специалистов, код CaddyWiper не похож на код HermeticWiper, IsaacWiper или какой-либо другой известной вредоносной программы. Однако, как и HermeticWiper, он развертывался через объекты групповых политик, а значит, у хакеров уже заранее был контроль над атакуемой сетью. CaddyWiper – четвертый по счету вайпер, применявшийся в атаках на Украину с начала 2022 года. 23 февраля, за день до ввода российских войск на территорию страны, исследователи ESET обнаружили вредоносное ПО для уничтожения данных HermeticWiper, использовавшее приманку-вымогатель. Кроме того, специалисты выявили вайпер IsaacWiper и новый червь HermeticWizard, использовавшийся в тот же день в качестве дроппера для HermeticWiper. Ранее исследователи из Microsoft также обнаружили вайпер WhisperGate, замаскированный под вымогательское ПО и развертывавшееся в атаках на украинские организации в середине января нынешнего года. |
Проверить безопасность сайта