Neue destruktive Malware wird bei Cyberangriffen auf die Ukraine verwendet
Während der Krieg in der Ukraine mit Berichten über die jüngsten Verwüstungen in der Hauptstadt Kiew und einer vom örtlichen Bürgermeister verhängten Ausgangssperre weitergeht, tobt der Kampf auch im Cyberspace weiter. Sicherheitsforscher berichteten gestern, dass in mehreren ukrainischen Netzwerken ein neuer Stamm zerstörerischer Malware entdeckt wurde.
Die neue Malware fungiert als Wischer und versucht nicht, Daten zu exfiltrieren oder zu verschlüsseln, wie dies bei Ransomware der Fall ist. Stattdessen löschen bedrohliche Wiper-Tools einfach alles, was sie können, und löschen den Speicherplatz, um eine Datenwiederherstellung zu verhindern.
CaddyWiper löscht Dateien, Partitionen
Das neu entdeckte Tool wurde CaddyWiper genannt und in einem Twitter-Post von Malware-Forschern detailliert beschrieben. Dies ist der dritte bedrohliche Wischer, der in freier Wildbahn in der Ukraine seit Beginn des militärischen Konflikts im Land entdeckt wurde. Seltsamerweise stellte sich heraus, dass die Nutzlast des CaddyWiper brandneu war und am selben Tag zusammengestellt wurde, an dem sie zum Angriff auf Systeme in der Ukraine verwendet wurde.
Ein weiteres interessantes Detail der neu gestarteten Malware ist, dass sie zwar Daten zerstört und Partitionen löscht, aber nicht in Domänencontroller eingreift. Domänencontroller sind die Teile eines Netzwerks, die für die Verarbeitung von Authentifizierungsanforderungen und den Zugriff auf die Domänenressourcen in einem bestimmten Netzwerk verantwortlich sind. Dies könnte bedeuten, dass das Tool seinen Betreibern erweiterten Zugriff auf die kompromittierten Systeme geben soll, zusammen mit der Hauptaufgabe, Daten zu löschen.
CaddyWiper breitet sich auf zuvor kompromittierte Netzwerke aus
Es wurde festgestellt, dass das zur Verbreitung von CaddyWiper missbrauchte Tool Microsoft Group Policy Objects oder GPOs waren. In mindestens einer Instanz eines kompromittierten Netzwerks wurde jedoch das Standard-GPO verwendet, um die Malware zu verbreiten. Dies deutet an sich darauf hin, dass der Drittanbieter, der CaddyWiper betreibt, bereits unbefugten Zugriff auf die Active Directory-Dienste des Netzwerks erlangt hat.
Die beiden früheren Drohwerkzeuge, die in den letzten Wochen bei Cyberangriffen auf ukrainische Ziele eingesetzt wurden, hießen HermeticWiper und IsaacWiper. Beide Tools hatten destruktive Fähigkeiten, hatten aber keine nennenswerten Ähnlichkeiten mit dem neuesten CaddyWiper, wenn es um Code geht.
Neben den Meldungen über den Einsatz des Tools CaddyWiper in der Ukraine sorgte ein weiterer Cyber-Angriff für Schlagzeilen, diesmal gegen den russischen Ölkonzern Rosneft. Eine deutsche Rosneft-Tochter wurde Berichten zufolge von dem internationalen Hacktivisten-Kollektiv Anonymous angegriffen. Berichten zufolge wurden bei dem Angriff 20 TB an Daten exfiltriert. Deutsche Behörden untersuchen den Angriff. Die Einrichtungen von Rosneft Deutschland sind nicht betroffen.