Yeni keşfedilen veri yok edici kötü amaçlı yazılım, Ukrayna örgütlerini hedefleyen saldırılarda ve ödün verilen ağlardaki sistemler arasında veri silme saldırılarında daha önce gözlendi.
ESET Araştırma Laboratuarları açıklanan "Bu yeni kötü amaçlı yazılım, kullanıcı verilerini ve ekli sürücülerden ayrılma bilgilerini oluşturur" dedi.
"ESET telemetri, sınırlı sayıda kuruluşta birkaç düzine sistemde görüldüğünü gösteriyor."
Windows Etki Alanları'ndaki verileri silmek için tasarlandığında, AÇIK, CaddyWiper, bir cihazın bir etki alanı denetleyicisi olup olmadığını kontrol etmek için DSRoleGetprimaryDomainInFormation () işlevini kullanır. Eğer öyleyse, etki alanı denetleyicisindeki veriler silinmeyecektir.
Bu, saldırganların, diğer kritik cihazları silerek hala ağır rahatsız edici operasyonları hala rahatsız edici bir şekilde rahatsız ederken, saldırganların arzu edilen organizasyon ağlarının içinde erişimi korumak için kullanılan bir taktiktir.
Açıklanmayan bir Ukrayna organizasyonu ağında keşfedilen bir kötü amaçlı yazılımın PE başlığını analiz ederken, kötü amaçlı yazılımların, aynı zamanda derlendiği gün saldırılarda konuşlandırıldığı tespit edildi.
"CADDYWIPER, HERMICWIPER, ISAACWIPER veya BİZE tanınan diğer kötü amaçlı yazılımlarla herhangi bir önemli kod benzerliğini paylaşmaz. Analiz ettiğimiz örnek dijital olarak imzalanmadı" dedi.
"Hermeticwiper dağıtımlarına benzer şekilde, Caddywiper'ın GPO üzerinden dağıtıldığını, saldırganların Hedef'in ağının önceden kontrolünü önceden kontrol ettiğini belirten gözlemledik."
CADDYWIPER, 2022'nin başından bu yana Ukrayna'daki saldırılarda konuşlandırılan dördüncü veri silecek kötü amaçlı yazılımıdır, ESET araştırma laboratuvarları analistleri daha önce iki kişiyi ve Microsoft'un üçüncü olduğunu keşfetti.
Ukrayna'nın Rus işgaliden bir gün önce başladı, 23 Şubat'ta, ESET araştırmacıları şimdi Hermetwiper olarak bilinen bir veri silme kötü amaçlı yazılımını gördü, Ukrayna'yı Ransomware Decoys ile birlikte hedef alıyordu.
Ayrıca, IsaAcwiper'ı ve Yeni Bir Solucan'ı keşfettiler, Hermeticwiper Silecek Lisans Yüklerini düşürmek için kullanılan saldırganlar, Rusya'nın Ukrayna'yı işgal etti.
Microsoft ayrıca şu anda WhisPergate olarak izlenen bir silecek buldu, Ocak ayının ortalarında Ukrayna'ya karşı veri silme saldırılarında kullanılan, fidye yazılımı olarak gizlendi.
Microsoft Cumhurbaşkanı ve Başkan Yardımcısı Brad Smith, Ukrayna örgütlerine karşı yıkıcı kötü amaçlı yazılımlara sahip bu devam eden saldırıların "tam olarak hedeflendiğini" söyledi.
Bu, Ukrayna'yı ve diğer ülkelerin 2017'deki Ukrayna'ya çarptığı kötü amaçlı yazılım saldırısı ile ilgili olarak, bir Rus GRU Ana İstihbarat Müdürlüğü Hacking Grubu olan Sandworm ile bağlantılı bir saldırı.
Bu tür yıkıcı saldırılar, Ukrayna güvenlik hizmeti (SSU) savaşın başlamadan hemen önce açıklandığı için "büyük bir hibrit savaş dalgasının" bir parçasıdır.
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
CISA ve FBI, potansiyel veri silme saldırılarını silerek
Ukrayna'daki veri silme saldırılarında çömelme olarak kullanılan fidye yazılımı
Yeni solucan ve veri silecek kötü amaçlı yazılımlar Ukrayna ağlarına isabet etti
Ukrayna'da yıkıcı saldırılarda kullanılan yeni veri silme kötü amaçlı yazılım
Kaynak: Bleeping Computer