Bezpečnostní analytici společnosti ESET zachytili nový destruktivní malware, který byl zaměřen na finanční instituce na Ukrajině.
Bezpečnostní analytici společnosti ESET zachytili nový destruktivní malware, který byl zaměřen na finanční instituce na Ukrajině. Škodlivý kód CaddyWiper je opět malware typu wiper, jehož primárním cílem je ničení dat a ochromení chodu organizace.
Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky společnosti ESET v pondělí 14. března v 11:38 tamního času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru. Na rozdíl od dříve použitého malware je CaddyWiper jednodušším typem malware a pravděpodobně začal vznikat teprve v několika posledních dnech.
„CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.
Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny a aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.
„I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů,“ dodává Cebák.
Aktuální situace na Ukrajině z pohledu kyberbezpečnosti
Malware CaddyWiper je již třetím škodlivým kódem typu wiper, který byl bezpečnostními experty během několika posledních týdnů na Ukrajině detekován.
V předvečer ruské invaze zachytila společnost ESET malware HermeticWiper v sítích řady významných ukrajinských organizací. Později byly v podrobné analýze popsány další škodlivé kódy – worm (červ) HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, či ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost. V den invaze pak proběhl druhý útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť.
Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií. Podrobné informace jsou stále předmětem hlubších analýz.
Situace v Česku
S ohledem na těžko předvídatelný vývoj konfliktu na Ukrajině sledují bezpečnostní analytici z ESETu podrobně také situaci v České republice. Aktuálně ale nejsou sledovány žádné výkyvy nad rámec standardní situace v počtu a charakteru kybernetických hrozeb v českém prostředí.
„V Česku sledujeme dlouhodobě řadu kybernetických hrozeb a útočných kampaní, v tuto chvíli ale žádnou nemůžeme dát do souvislosti s událostmi na Ukrajině. Česko je cílem kybernetických útoků dlouhodobě, situace se ale v tuto chvíli nijak nevymyká dlouhodobě pozorovanému stavu. Vyšší stav obezřetnosti je nicméně určitě namístě, konflikt v kybernetickém prostoru bude určitě daleko méně respektovat hranice jednotlivých států,“ shrnuje Cebák z ESETu.
IoC
- 98b3fb74b3e8b3f9b05a82473551c5a77b576d54 (caddy.exe)
Poznámka: IoC, Indicator of compromise, představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačnou identifikaci hrozby. Bezpečnostní komunita na jeho základě může hrozbě lépe čelit.
KOMENTÁŘE