Ένα νέο στέλεχος data-wiping malware, το οποίο έχει την δυνατότητα να διαγράφει αρχεία τόσο από τον υπολογιστή, όσο και από τις συνδεδεμένες σε αυτόν μονάδες αποθηκευτικού χώρου, έχει εντοπιστεί στην Ουκρανία.
Η ESET εντόπισε για πρώτη φορά το συγκεκριμένο Windows-based malware τη Δευτέρα και το ονόμασε “CaddyWiper“. Η εταιρεία παρατήρησε ότι ο κώδικας έχει μέγεθος μόλις 9KB, ενώ βρίσκεται σε “μερικές δεκάδες συστήματα σε περιορισμένο αριθμό οργανισμών” στην Ουκρανία.
#BREAKING #ESETresearch warns about the discovery of a 3rd destructive wiper deployed in Ukraine 🇺🇦. We first observed this new malware we call #CaddyWiper today around 9h38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET research (@ESETresearch) March 14, 2022
Οι δημιουργοί του malware παραμένουν ακόμη άγνωστοι, όμως η ESET δήλωσε ότι το CaddyWiper εγκαταστάθηκε στα συστήματα αφού οι χάκερς είχαν ήδη παραβιάσει το δίκτυο των θυμάτων τους. Το συγκεκριμένο κακόβουλο λογισμικό παραβίαζε το “Group Policy Object” του θύματος. Το “Group Policy Object” δημιουργήθηκε από τη Microsoft για να βοηθήσει τους διαχειριστές να διαχειρίζονται υπολογιστές σε ένα εταιρικό δίκτυο.
Οι ουκρανικές αρχές πιστεύουν ότι το τελευταίο στέλεχος του CaddyWiper στοχεύει σε χρηματοοικονομικά ιδρύματα της χώρας.
Victor Zhora of @dsszzi to @KimZetter: on press call: the latest wiper attack – as reporter by ESET – was targeting financial institutions in Ukraine. #CaddyWiper pic.twitter.com/YeYGL4tRCK
— Henrik Moltke (@moltke) March 15, 2022
Επίσης, και η μονάδα ασφαλείας της Cisco, Talos, εξέτασε το συγκεκριμένο πρόγραμμα και εντόπισε πως καταστρέφει πρώτα τα αρχεία στο “C:\Users” και μετά συνεχίζει να στοχεύει άλλα ονόματα δίσκων μέχρι να φτάσει στον δίσκο “Z”. Οι ίδιοι δήλωσαν πως: “ Αυτό σημαίνει ότι το συγκεκριμένο wiper θα προσπαθήσει να διαγράψει δεδομένα από οποιαδήποτε μονάδα βρίσκεται στο δίκτυο και είναι συνδεδεμένη στο σύστημα.”
Το συγκεκριμένο λογισμικό θα διαγράψει δεδομένα και θα αποτρέψει την ανάκτησή τους αντικαθιστώντας κάθε αρχείο και storage partition με μηδενικά. Αν το λογισμικό εντοπίσει ότι ο υπολογιστής είναι κάποιος “domain controller” τότε δεν θα διαγράψει τα δεδομένα. Ο “domain controller” είναι ένας server όπου ανταποκρίνεται σε “authentication requests” που γίνονται στο συγκεκριμένο δίκτυο.
Η ESET δήλωσε: “Αυτό μάλλον είναι ένας τρόπος για τους επιτιθέμενους να διατηρήσουν την πρόσβασή τους στον οργανισμό ενώ εξακολουθούν να εμποδίζουν άλλες λειτουργίες.”
Σύμφωνα πάλι με την ESET, το CaddyWiper δεν έχει κάποια ομοιότητα, όσον αφορά τον κώδικα, με τα άλλα τρία παρόμοια κακόβουλα λογισμικά που επιτέθηκαν τις τελευταίες βδομάδες σε Windows PC στην Ουκρανία. Η αρχή αυτών των λογισμικών ήταν το WhisperGate όπου εντοπίστηκε από την Microsoft τον Ιανουάριο. Τον Φεβρουάριο και τον Μάρτιο εταιρείες ασφαλείας εντόπισαν το HermeticWiper και το IsaacWiper τα οποία είχαν εξαπλωθεί σε ουκρανικές εταιρείες όταν η Ρωσία εισέβαλε στη χώρα.
Τα συγκεκριμένα περιστατικά οδήγησαν τις ΗΠΑ να προειδοποιήσουν ότι οι ίδιες επιθέσεις θα μπορούσαν κάλλιστα να γίνουν και σε αμερικανικές εταιρείες. Οι αρμόδιες αρχές των Η.Π.Α. προτείνουν στους οργανισμούς της χώρας να αναβαθμίσουν την ασφάλειά τους. Τέτοιες αναβαθμίσεις μπορεί να περιλαμβάνουν: περισσότερους ελέγχους για ιούς, ενημερωμένο λογισμικό και τη χρήση “multi-factor authentication” σε όλα τα συστήματα σύνδεσης.
Δελτίο Τύπου
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://xiaomi-miui.gr/feed
