Slovenská kyberbezpečnostní společnost ESET detekovala další dosud nepoznaný malware na Ukrajině. Stejně jako ve dvou předchozích případech jde o destruktivní software, jehož účelem je ničení dat a ochromení chodů institucí. Tentokrát se zaměřuje zejména na finanční sektor. Malware dostal název CaddyWiper a v Česku nebyl spozorován.
ESET už dříve na Ukrajině detekoval dva wipery a dále ransomware a nástroj pro šíření těchto virů v rámci systémů. Náznaky mluví o tom, že za vývoje a šířením může stát Rusko. Více o tom v našem rozhovoru s Michalem Cebákem z ESET. Nejen o kyberválce na Ukrajině více také v rozhovoru s Robertem Šumanem.
Cebák popisuje CaddyWiper následovně:
Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky společnosti ESET v pondělí 14. března v 11:38 tamního času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru. Na rozdíl od dříve použitého malware je CaddyWiper jednodušším typem malware a pravděpodobně začal vznikat teprve v několika posledních dnech.
CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války.
Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny a aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.
I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanismu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů.