Forskere har opdaget en ny type destruktiv wiper-malware, der påvirker computere i Ukraine, hvilket gør det til mindst den tredje viskerstamme, der har ramt ukrainske systemer, siden den russiske invasion begyndte.
Malwaren, kaldet CaddyWiper, blev fundet af forskere hos det slovakiske cybersikkerhedsfirma ESET, som delte detaljer i en tweet-tråd, som blev offentliggjort mandag.
Ifølge forskerne sletter malwaren brugerdata og partitionsoplysninger fra alle drev, der er tilsluttet en kompromitteret maskine. Eksempelkode delt på Twitter antyder, at malware korrumperer filer på maskinen ved at overskrive dem med null-byte-tegn, hvilket gør dem uoprettelige.
“Vi ved, at hvis viskeren virker, vil den effektivt gengive systemet ubrugeligt,” sagde Jean-Ian Boutin, leder af trusselsforskning hos ESET, til The Verge. “Det er dog uklart på nuværende tidspunkt, hvad der er den overordnede virkning af dette angreb.”
Indtil videre ser antallet af sager i naturen ud til at være lille, og ESET's forskning havde observeret, at én organisation var målrettet med CaddyWiper, sagde Boutin.
#BREAKING #ESETresearch advarer om opdagelsen af en tredje destruktiv visker udsat i Ukraine. Vi observerede først denne nye malware, som vi kalder #CaddyWiper i dag omkring kl. 9.38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET research (@ESETresearch) 14. marts 2022
ESET-forskning har tidligere afsløret to andre stammer af wiper-malware rettet mod computere i Ukraine. Den første stamme, mærket HermeticWiper af forskere, blev opdaget den 23. februar, en dag før Rusland begyndte den militære invasion af Ukraine. En anden visker kendt som IsaacWiper blev installeret i Ukraine den 24. februar.
En tidslinje delt af ESET tyder imidlertid på, at både IsaacWiper og HermeticWiper var under udvikling i flere måneder før deres udgivelse.
:no_upscale()nvox.com-cdnvo.com-no_upscale.com /uploads/chorus_asset/file/23315668/isaacwipertimeline.png "Forskere finder ny destruktiv wiper-malware i Ukraine")
En tidslinje for IsaacWiper og HermeticWiper udvikling af ESET-forskning Wiper-programmer deler nogle ligheder med ransomware med hensyn til deres evne til at få adgang til og ændre filer på et kompromitteret system, men i modsætning til ransomware – som krypterer data på en disk, indtil der betales et frigivelsesgebyr til angribere – sletter wipers permanent diskdata og giver ingen mulighed at genoprette den. Dette betyder, at formålet med malwaren udelukkende er at forårsage skade på målet snarere end at udtrække økonomisk belønning til angriberen.
Mens pro-russiske hackere har brugt malware til at ødelægge dataene på Ukrainske computersystemer, nogle hackere, der støtter Ukraine, har valgt den modsatte tilgang, idet de lækker data fra russiske virksomheder og statslige agenturer som en offensiv taktik.
Samlet set har storstilet cyberkrig indtil videre mislykkedes at materialisere sig i Rusland-Ukraine-konflikten, men det er muligt, at der stadig er større angreb i vente. I USA har Cybersecurity and Infrastructure Agency (CISA) offentliggjort en vejledning til organisationer, der advarer om, at de kan blive påvirket af den samme type destruktiv malware, der bruges i Ukraine.