Odkryto nowy wariant złośliwego oprogramowania. "Niszczy dane użytkowników"

OPRAC.:
Maciej Badowski
Maciej Badowski
Udostępnij:
Trzeci już "wiper” wykorzystywany do ataku na Ukrainę, nazywany przez analityków firmy ESET „Caddy” niszczy dane użytkowników i informacje o partycjach z podłączonych dysków.

Jak informują badacze ESET "CaddyWiper" (wiper od ang. wipe – wycierać/zamazywać) nie ma większych podobieństw w kodzie do HermeticWiper, ani do IsaacWiper - dwóch innych rodzin złośliwego oprogramowania usuwających dane na komputerach użytkowników, które zostały wykorzystane do ataku na ukraińskie organizacje, w ostatnim tygodniu lutego.

– Podobnie jak w przypadku HermeticWiper istnieją dowody sugerujące, że twórcy stojący za CaddyWiper przed jego rozpowszechnieniem infiltrowali sieć będącą przedmiotem ataku – wyjaśnia Beniamin Szczepankiewicz, starszy analityk zagrożeń w firmie ESET.

Hakerzy po raz kolejny atakują używając "Wiper"

To już trzeci raz w ostatnich tygodniach, kiedy badacze ESET zaobserwowali na Ukrainie nieznaną wcześniej odmianę złośliwego oprogramowania do usuwania danych, co uniemożliwia normalne funkcjonowanie komputera.

Jak przypomniano, w przeszłości do wrogich działań wykorzystywano również HermeticWizard, niestandardowego robaka komputerowego używanego do rozprzestrzeniania HermeticWiper w sieciach organizacji oraz HermeticRansom, którego celem było ukrycie działań realizowanych przez HermeticWiper.

Kalendarium działań cybernetycznych przeciwko Ukrainie

  • 23.02.2022

Cyberatak z wykorzystaniem złośliwego oprogramowania HermeticWiper, który uszkadza dane na dysku zainfekowanego komputera został przeprowadzony 23 lutego 2022 r. Atak był wymierzony w ukraińskie organizacje państwowe, kluczowe z punktu funkcjonowania kraju i o kilka godzin poprzedził rozpoczęcie inwazji sił Federacji Rosyjskiej. Ślady dotyczące złośliwego oprogramowania Wiper sugerują, że atak ten był planowany od kilku miesięcy.

  • 24.02.2022

Rozpoczął się drugi atak na ukraińską sieć rządową, tym razem przy użyciu IsaacWiper. IsaacWiper występował jako biblioteka DLL systemu Windows lub plik wykonywalny EXE i nie posiadał podpisu Authenticode (weryfikującego autentyczność wydawcy aplikacji). IsaacWiper nie ma podobieństw w kodzie do HermeticWiper i jest znacznie mniej wyrafinowany. Biorąc pod uwagę oś czasu, możliwe jest, że oba są ze sobą powiązane, ale na ten moment nie zostało to potwierdzone.

Badacze ESET zaobserwowali również oprogramowanie ransomware, nazwane HermeticRansom, napisane w języku programowania Go i rozpowszechniane w tym samym czasie w ukraińskiej sieci. HermeticRansom został po raz pierwszy zgłoszony we wczesnych godzinach 24 lutego 2022 UTC na Twitterze.

  • 25.02.2022

Pojawiła się nowa wersja IsaacWipera, która zapisywała efekty działania Wipera do dziennika logowania. Zdaniem ekspertów ESET zmiana może sugerować, że atakujący nie byli w stanie usunąć danych z niektórych zaatakowanych maszyn i dodali komunikaty dziennika, aby zrozumieć, dlaczego tak się dzieje. Odkryty został także robak używany do rozprzestrzeniania Wipera, na inne komputery połączone w sieci lokalnej.

  • 14.03.2022

Odnotowano pojawienie się CaddyWiper.

Dołącz do nas na Facebooku!

Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!

Polub nas na Facebooku!

Dołącz do nas na Twitterze!

Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.

Obserwuj nas na Twiterze!

Kontakt z redakcją

Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?

Napisz do nas!

Polecane oferty

miejsce #1

ASUS

ASUS X515EA-BQ1445W i5/8GB/512GB/Win11 (X515EABQ1445W)

4 299,00 zł2 599,00 zł-40%
miejsce #2

Lenovo

Lenovo Legion 5-15ACH 15,6"/Ryzen7/16GB/512GB/NoOS (82JW008SPB)

6 499,00 zł4 399,00 zł-32%
miejsce #3

ASUS

ASUS ROG Strix G15 G513IE-HN003 15,6"/Ryzen7/16GB/512GB/NoOS ...

6 334,80 zł4 699,00 zł-26%
miejsce #4

MSI

MSI Katana GF76 17,3"/i7/16GB/512GB/NoOS (11UD466XPL)

6 331,94 zł4 900,00 zł-23%
Materiały promocyjne partnera

Materiał oryginalny: Odkryto nowy wariant złośliwego oprogramowania. "Niszczy dane użytkowników" - Strefa Biznesu

Komentarze

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

Nikt jeszcze nie skomentował tego artykułu.
Więcej informacji na stronie głównej Kurier Lubelski
Dodaj ogłoszenie