Na Ukrajině řádí další nebezpečný vir, má ochromit finanční instituce

Na Ukrajině řádí další nebezpečný vir, má ochromit finanční instituce
Fotografie: unsplash.com
  • Bezpečnostní analytici společnosti ESET zachytili nový destruktivní malware, který byl zaměřen na finanční instituce na Ukrajině
  • Škodlivý kód CaddyWiper je opět malware typu wiper, jehož primárním cílem je ničení dat a ochromení chodu organizace

Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky společnosti ESET v pondělí 14. března v 11:38 tamního času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru. Na rozdíl od dříve použitého malwaru je CaddyWiper jednodušším typem a pravděpodobně začal vznikat teprve v několika posledních dnech.


CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.

Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny, aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.

I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanismu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. To znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem se službu Active Directory. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů,“ dodává Cebák.

Aktuální situace na Ukrajině z pohledu kyberbezpečnosti

Malware CaddyWiper je již třetím škodlivým kódem typu wiper, který byl bezpečnostními experty během několika posledních týdnů na Ukrajině detekován.

V předvečer ruské invaze zachytila společnost ESET malware HermeticWiper v sítích řady významných ukrajinských organizací. Později byly v podrobné analýze popsány další škodlivé kódy – worm (červ) HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, a ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost. V den invaze pak proběhl druhý útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť.

Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií. Podrobné informace jsou stále předmětem hlubších analýz.

Situace v Česku

S ohledem na těžko předvídatelný vývoj konfliktu na Ukrajině sledují bezpečnostní analytici z ESETu podrobně také situaci v České republice. Aktuálně ale nejsou sledovány žádné výkyvy nad rámec standardní situace v počtu a charakteru kybernetických hrozeb v českém prostředí.

V Česku sledujeme dlouhodobě řadu kybernetických hrozeb a útočných kampaní, v tuto chvíli ale žádnou nemůžeme dát do souvislosti s událostmi na Ukrajině. Česko je cílem kybernetických útoků dlouhodobě, situace se ale v tuto chvíli nijak nevymyká dlouhodobě pozorovanému stavu. Vyšší stav obezřetnosti je nicméně určitě namístě, konflikt v kybernetickém prostoru bude určitě daleko méně respektovat hranice jednotlivých států,“ shrnuje Cebák z ESETu.

Diskuze ke článku
V diskuzi zatím nejsou žádné příspěvky. Přidejte svůj názor jako první.
Přidat názor

Nejživější diskuze