Πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό που καταστρέφει δεδομένα παρατηρήθηκε νωρίτερα σήμερα σε επιθέσεις που στόχευαν ουκρανικούς οργανισμούς και σε διαγραφές δεδομένων σε συστήματα σε παραβιασμένα δίκτυα.
H ESET Research Labs εξήγησε:
“Τα δεδομένα από την ESET δείχνουν ότι εμφανίστηκε σε μερικές δεκάδες συστήματα σε περιορισμένο αριθμό οργανισμών.”
Ενώ έχει σχεδιαστεί για να σκουπίζει δεδομένα σε τομείς των Windows στους οποίους έχει αναπτυχθεί, το CaddyWiper θα χρησιμοποιήσει τη συνάρτηση DsRoleGetPrimaryDomainInformation() για να ελέγξει εάν μια συσκευή είναι ελεγκτής τομέα. Εάν ναι, τα δεδομένα στον ελεγκτή τομέα δεν θα διαγραφούν.
Αυτή είναι πιθανότατα μια τακτική που χρησιμοποιείται από τους εισβολείς για να διατηρήσουν την πρόσβαση στα παραβιασμένα δίκτυα των οργανισμών που χτυπούν, ενώ εξακολουθεί να ενοχλεί έντονα τις λειτουργίες σκουπίζοντας άλλες κρίσιμες συσκευές.
Κατά την ανάλυση της κεφαλίδας PE ενός δείγματος κακόβουλου λογισμικού που ανακαλύφθηκε στο δίκτυο ενός άγνωστου ουκρανικού οργανισμού, ανακαλύφθηκε επίσης ότι το κακόβουλο λογισμικό αναπτύχθηκε σε επιθέσεις την ίδια ημέρα μεταγλώττισης.
“Το CaddyWiper δεν έχει καμία σημαντική ομοιότητα κώδικα με τα HermeticWiper, IsaacWiper ή οποιοδήποτε άλλο κακόβουλο λογισμικό που είναι γνωστό σε εμάς. Το δείγμα που αναλύσαμε δεν είχε ψηφιακή υπογραφή”, πρόσθεσε η ESET.
“Ομοίως με τις αναπτύξεις HermeticWiper, παρατηρήσαμε ότι το CaddyWiper αναπτύσσεται μέσω GPO, υποδεικνύοντας ότι οι εισβολείς είχαν εκ των προτέρων έλεγχο του δικτύου του στόχου.”