Исследователи обнаружили новый тип вредоносного вредоносного ПО wiper, поражающего компьютеры в Украине, что делает его по меньшей мере третьим штаммом wiper, поразившим украинские системы с начала российского вторжения.
Вредоносная программа, получившая название CaddyWiper, была обнаружена исследователями из словацкой фирмы по кибербезопасности ESET, которые поделились подробностями в твиттере, опубликованном в понедельник.
По словам исследователей, вредоносная программа стирает пользовательские данные и информацию о разделах с любых дисков, подключенных к скомпрометированной машине. Пример кода, опубликованный в Twitter, предполагает, что вредоносная программа повреждает файлы на компьютере, перезаписывая их символами нулевого байта, что делает их невосполнимыми.
“Мы знаем, что если wiper сработает, это фактически сделает систему бесполезной”, — сказал Жан-Ян Бутен, руководитель отдела исследований угроз ESET, The Verge. “Однако на данный момент неясно, каковы общие последствия этой атаки”.
До сих пор число случаев в дикой природе, по-видимому, невелико, и исследование ESET показало, что одна организация была нацелена на CaddyWiper, сказал Бутен.
#ВЗЛОМ #ESETresearch предупреждает об обнаружении 3-го разрушительного wiper, развернутого в Украине . Мы впервые заметили эту новую вредоносную программу, которую мы называем #CaddyWiper, сегодня около 9:38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET research (@ESETresearch) 14 марта 2022 г.
Исследование ESET ранее выявило два других штамма вредоносного ПО wiper, нацеленного на компьютеры в Украине. Первый штамм, названный исследователями HermeticWiper, был обнаружен 23 февраля, за день до того, как Россия начала военное вторжение в Украину. Еще один стеклоочиститель, известный как IsaacWiper, был развернут в Украине 24 февраля.
Однако график, которым поделилась ESET, предполагает, что как Isaacwiper, так и HermeticWiper находились в разработке в течение нескольких месяцев до их выпуска.
Программы Wiper имеют некоторое сходство с программами—вымогателями с точки зрения их способности получать доступ и изменять файлы в скомпрометированной системе, но в отличие от программ—вымогателей, которые шифруют данные на диске до тех пор, пока злоумышленникам не будет выплачена плата за освобождение, программы wiper безвозвратно удаляют данные с диска и не дают возможности их восстановить. Это означает, что цель вредоносного ПО состоит исключительно в том, чтобы нанести ущерб цели, а не в получении какого-либо финансового вознаграждения для злоумышленника.
В то время как пророссийские хакеры использовали вредоносное ПО для уничтожения данных в украинских компьютерных системах, некоторые хакеры, поддерживающие Украину, использовали противоположный подход, сливая данные российских предприятий и государственных учреждений в качестве наступательной тактики.
В целом, крупномасштабная кибервойна до сих пор не материализовалась в российско-украинском конфликте, но вполне возможно, что более масштабные атаки все еще ожидаются. В США Агентство по кибербезопасности и инфраструктуре (CISA) опубликовало рекомендации для организаций, предупреждающие, что на них может повлиять тот же тип вредоносного ПО, который используется в Украине.
