Hlavní navigace

Slovenský ESET objevil další malware útočící na Ukrajině, snaží se zničit data

16. 3. 2022

Sdílet

Michal Cebák, ESET Autor: Jan Sedlák

Slovenská kyberbezpečnostní společnost ESET detekovala další dosud nepoznaný malware na Ukrajině. Stejně jako ve dvou předchozích případech jde o destruktivní software, jehož účelem je ničení dat a ochromení chodů institucí. Tentokrát se zaměřuje zejména na finanční sektor. Malware dostal název CaddyWiper a v Česku nebyl spozorován.

ESET už dříve na Ukrajině detekoval dva wipery a dále ransomware a nástroj pro šíření těchto virů v rámci systémů. Náznaky mluví o tom, že za vývoje a šířením může stát Rusko. Více o tom v našem rozhovoru s Michalem Cebákem z ESET. Nejen o kyberválce na Ukrajině více také v rozhovoru s Robertem Šumanem.

Cebák popisuje CaddyWiper následovně:

Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky společnosti ESET v pondělí 14. března v 11:38 tamního času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru. Na rozdíl od dříve použitého malware je CaddyWiper jednodušším typem malware a pravděpodobně začal vznikat teprve v několika posledních dnech.

CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války.

Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny a aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.

I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanismu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 17. 3. 2022 9:55

    vdx

    Tak doufám, že se jim ta práce daří a že k poškozování ukrajinské infrastruktury nedošlo a nedochází. Momentálně je to dost důležité.

Byl pro vás článek přínosný?

Autor aktuality

Reportér Lupa.cz a E15. O technologiích píše také do zahraničních médií.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).