Минулого понеділка аналітики з кібербезпеки Eset виявили нове зловмисне програмне забезпечення, яке використовується для атак на організації в Україні. Зловмисне програмне забезпечення, назване CaddyWiper, стирає дані та інформацію користувача з підключених дисків. Це було перевірено, за словами компанії, “на десятках систем в обмеженій кількості організацій”.
Створений для стирання даних у домені Windows — він визначається як Win32/KillDisk.ncx — CaddyWiper не має суттєвої схожості з HermeticWiper чи IsaacWiper, іншими двома шкідливими програмами типу wiper, які переслідували українські організації з початку війни з росією . За словами Eset, зловмисне програмне забезпечення, походження якого невідоме, було завантажено в той же день, коли воно було зібрано.
«З наявної на сьогоднішній день інформації ми в Eset не виявили жодних відчутних зв’язків із відомим суб’єктом загрози; тому ми не могли зробити атрибуцію», – пояснює керівник дослідницької лабораторії Eset в Латинській Америці Каміло Гутьєррес Амайя. «Варто зазначити, що це не перший випадок, коли ми бачимо атаки із використанням шкідливого коду в Україні, у 2016 році ми виявили такі загрози, як BlackEnergy або Industryroyer у 2017 році, які були спрямовані на критичну інфраструктуру, таку як водопостачання, електроенергія та газ».
Хоча це очищувач даних, CaddyWiper також використовує функцію DsRoleGetPrimaryDomainInformation(), щоб перевірити, чи є пристрій контролером. У цьому випадку дані на контролері домену не видаляються. Ймовірно, це тактика, яку використовують кіберзлочинці, щоб зберегти доступ до зламаних мереж, одночасно зламавши інші критичні пристрої.
Україна під прицілом хакерів
Цього року дослідники Eset вже втретє виявили безпрецедентну вибірку зловмисного програмного забезпечення, спрямованого на організації в Україні. Напередодні злому телеметрія компанії виявила HermeticWiper у мережах кількох резонансних українських організацій. Також було перевірено стиральник даних під назвою IsaacWiper і хробак під назвою HermeticWizard. На останньому кіберзлочинці використовували його для поширення HermeticWiper в мережах України.
Також цього року Whispergate, ще один очисник даних, знищив мережі кількох організацій країни . Виявлене Microsoft, зловмисне програмне забезпечення очищало файли даних у вибраних каталогах на комп’ютерах жертв замість шифрування їх. Згодом файли з різними розширеннями — .docx, .html, .java та інші — були замінені на 1 МБ символів «I» (0xcc у шістнадцятковому).
Усі ці кампанії є частиною довгої серії кібератак зловмисного програмного забезпечення, які атакували Україну протягом останніх восьми років. У цей період Україна була об’єктом широко руйнівних атак, зокрема атаки NotPetya, яка проникла в мережі кількох компаній в Україні у 2017 році, перш ніж поширитися на інші країни.
«Використання цього типу зловмисного коду характеризує можливість того, що компанія або критична інфраструктура країни можуть постраждати від атаки зловмисного коду», – каже Гутьєррес Амайя. «Важливо вжити запобіжних заходів, якщо ці загрози стають популярними та використовуються з метою вимагання, як це спостерігається з еволюцією програм-вимагачів».
Також нещодавно стало відомо, що з’явився небезпечний вірус, який неможливо повністю видалити із зараженого комп’ютера.
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.
