Oekraïense netwerken doelwit van nieuwe wiper-malware

Nieuwe malware is opgedoken die Oekraïense netwerken aanvalt. De malware lijkt specifiek gericht op Oekraïense organisaties en delete data van hun systemen.

Het gaat om CaddyWiper, een nieuw ontdekte vorm van wiper-malware. ESET Research Labs meldt op Twitter dat CaddyWiper informatie en partitie-informatie verwijderd van verbonden opslagmedia. Inmiddels zouden al tientallen Oekraïense systemen door de malware zijn getroffen. Een beperkt aantal organisaties is tot nu toe getroffen.

Derde golf van wipermalware

Het gaat om de derde golf aan wipermalware die toeslaat in Oekraïne. De code van CaddyWiper vertoont geen significante gelijkenissen met de eerder opgedoken HermeticWiper en IsaacWiper, of andere malware die bekend is bij ESET. Het sample dat door ESET is onderzocht was niet digitaal ondertekend.

Net als bij HermeticWiper verspreiden aanvallers CaddyWiper via Group Policy Objects (GPO's). ESET meldt dat de aanvallers vermoedelijk dan ook vooraf aan de inzet van CaddyWiper al toegang hadden tot Active Directory-server van getroffen bedrijven.

Data op domain controllers niet vernietigd

Ook wijst ESET erop dat CaddyWiper opvallend genoeg geen data op domain controllers vernietigd. De onderzoekers vermoeden dat de aanvallers hiermee proberen de bedrijfsvoering van getroffen organisaties te verstoren, zonder dat zij de toegang tot dit bedrijf verliezen.

Interestingly, CaddyWiper avoids destroying data on domain controllers. This is probably a way for the attackers to keep their access inside the organization while still disturbing operations. 5/7 pic.twitter.com/xiXgOMe5wr

— ESET research (@ESETresearch) March 14, 2022