Destruktivní malware CaddyWiper cílí na finanční instituce Ukrajiny

Malware CaddyWiper je opět typu wiper, jehož primárním cílem je ničení dat a ochromení chodu organizace. Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky ESETu v pondělí 14. 3. 2022 v 11:38 hod. ukrajinského času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru.

Na rozdíl od dříve použitého malware je CaddyWiper jednodušším typem malwaru, který pravděpodobně začal vznikat teprve v několika posledních dnech. Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny a aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.

"CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války. I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů," říká Michal Cebák, bezpečnostní analytik společnosti ESET.

Aktuální situace na Ukrajině z pohledu kyberbezpečnosti

Malware CaddyWiper je již třetím škodlivým kódem typu wiper, který byl bezpečnostními experty během několika posledních týdnů na Ukrajině detekován.

V předvečer ruské invaze zachytila společnost ESET malware HermeticWiper v sítích řady významných ukrajinských organizací.

Později byly v podrobné analýze popsány další škodlivé kódy - worm (červ) HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, či ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost.

V den invaze pak proběhl druhý útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť.

Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií.

Podrobné informace jsou stále předmětem hlubších analýz.

Situace v Česku

S ohledem na těžko předvídatelný vývoj konfliktu na Ukrajině sledují bezpečnostní analytici z ESETu podrobně také situaci v České republice. Aktuálně ale nejsou sledovány žádné výkyvy nad rámec standardní situace v počtu a charakteru kybernetických hrozeb v českém prostředí.

Česko je cílem kybernetických útoků dlouhodobě, situace se ale v tuto chvíli nijak nevymyká dlouhodobě pozorovanému stavu. Vyšší stav obezřetnosti je nicméně určitě namístě, konflikt v kybernetickém prostoru bude určitě daleko méně respektovat hranice jednotlivých států.

IoC - Indicator of compromise:

98b3fb74b3e8b3f9b05a82473551c5a77b576d54 (caddy.exe)

IoC představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačnou identifikaci hrozby - bezpečnostní komunita na jeho základě může hrozbě lépe čelit.

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Společnost ESET bude zveřejňovat další informace.