Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Обнаружен уже четвертый в этом году вайпер, атакующий украинские организации

15/03/22

hack71-Mar-15-2022-10-33-32-44-AMСпециалисты ESET Research Labs обнаружили новое вредоносное ПО для уничтожения данных CaddyWiper, атакующее украинские организации и удаляющие данные со всех систем в скомпрометированных сетях.

«Новый вредонос стирает пользовательские данные и информацию с разделов съемных дисков. Судя по телеметрии ESET, он заразил несколько десятков систем в ограниченном количестве организаций», - сообщили исследователи.

Разработанный специально для уничтожения данных на доменах Windows, CaddyWiper использует функцию DsRoleGetPrimaryDomainInformation() для проверки, не является ли зараженное устройство контроллером домена, и если является, данные с него стираться не будут.

Скорее всего, такая тактика позволяет злоумышленниками сохранять доступ к скомпрометированным сетям организаций и при этом сильно нарушать их работу, стирая данные с других важных устройств.

В ходе анализа заголовка вредоносного PE-файла, вывяленного в сети одной из украинских организаций, исследователи обнаружили, что вредоносное ПО использовалось в атаке в тот же день, когда было скомпилировано.

По словам специалистов, код CaddyWiper не похож на код HermeticWiper, IsaacWiper или какой-либо другой известной вредоносной программы. Однако, как и HermeticWiper, он развертывался через объекты групповых политик, а значит, у хакеров уже заранее был контроль над атакуемой сетью.

CaddyWiper – четвертый по счету вайпер, применявшийся в атаках на Украину с начала 2022 года. 23 февраля, за день до ввода российских войск на территорию страны, исследователи ESET обнаружили вредоносное ПО для уничтожения данных HermeticWiper, использовавшее приманку-вымогатель.

Кроме того, специалисты выявили вайпер IsaacWiper и новый червь HermeticWizard, использовавшийся в тот же день в качестве дроппера для HermeticWiper.

Ранее исследователи из Microsoft также обнаружили вайпер WhisperGate, замаскированный под вымогательское ПО и развертывавшееся в атаках на украинские организации в середине января нынешнего года.

Темы:ПреступленияУкраинаESETвайперы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...