Новооткритият злонамерен софтуер за унищожаване на данни беше наблюдаван по-рано днес при атаки, насочени към украински организации и изтриване на данни в системи в компрометирани мрежи.
„Този нов злонамерен софтуер изтрива потребителските данни и информацията за дялове от всички прикачени устройства“, обясниха от ESET Research Labs.
„Телеметрията на ESET показва, че е била наблюдавана в няколко десетки системи в ограничен брой организации.“
Въпреки че е проектиран да изтрива данни в домейни на Windows, на които е разположен, CaddyWiper използва функцията DsRoleGetPrimaryDomainInformation(), за да провери дали дадено устройство е домейн контролер. Ако е така, данните на домейн контролера няма да бъдат изтрити.
Това вероятно е тактика, използвана от нападателите, за да поддържат достъп вътре в компрометираните мрежи от организации, които са пострадали, като същевременно все още силно смущават операциите чрез изтриване на други критични устройства.
При анализиране PE заглавката на извадка от злонамерен софтуер, открита в мрежата на украинска организация, беше открито също, че злонамереният софтуер е бил разгърнат при атаки в същия ден, когато е бил компилиран.
„CaddyWiper не споделя никакво значимо сходство на кода с HermeticWiper, IsaacWiper или друг зловреден софтуер, известен ни. Извадката, която анализирахме, не беше цифрово подписана“, добавят от ESET.
„Подобно на внедряването на HermeticWiper, наблюдавахме, че CaddyWiper се разгръща чрез GPO, което показва, че нападателите са имали предварителен контрол върху мрежата на целта предварително.“
CaddyWiper е четвъртият злонамерен софтуер за изтриване на данни, използван при атаки в Украйна от началото на 2022 г., като анализаторите на ESET Research Labs по-рано откриха две други, а Microsoft – трета.
Един ден преди началото на руската инвазия в Украйна, на 23 февруари, изследователите на ESET забелязаха злонамерен софтуер за изтриване на данни, сега известен като HermeticWiper, използван в Украйна заедно с рансъмуеър атаки.
Те също така откриха софтуер за унищожаване на данни, който нарекоха IsaacWiper, и нов червей на име HermeticWizard, който нападателите използваха, за да изхвърлят полезни товари на HermeticWiper в деня, когато Русия нахлу в Украйна.
Microsoft също така откри wiper, който сега се проследява като WhisperGate, използван при атаки за изтриване на данни срещу Украйна в средата на януари, маскиран като ransomware.
Както каза президентът и заместник-председател на Microsoft Брад Смит, тези продължаващи атаки с разрушителен зловреден софтуер срещу украински организации „са били точно насочени“.
Това контрастира с безразборното нападение на злонамерен софтуер NotPetya в световен мащаб, което удари Украйна и други страни през 2017 г., атака, по-късно свързана с Sandworm, група за черно хакерство на ГРУ.
Подобни разрушителни атаки са част от хибридната война според украинската служба за сигурност (SSU) точно преди началото на войната.