Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky společnosti ESET v pondělí 14. března v 11:38 tamního času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru. Na rozdíl od dříve použitého malwaru je CaddyWiper jednodušším typem a pravděpodobně začal vznikat teprve v několika posledních dnech.
.@ESETResearch have uncovered #CaddyWiper. This is the third time in as many weeks that #ESET researchers have spotted previously unknown data wiping malware taking aim at organizations in the embattled country. #ProgressProtected #DigitalSecurity
— ESET (@ESET) March 15, 2022
„CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.
Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny, aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.
„I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanismu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. To znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem se službu Active Directory. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů,“ dodává Cebák.
Aktuální situace na Ukrajině z pohledu kyberbezpečnosti
Malware CaddyWiper je již třetím škodlivým kódem typu wiper, který byl bezpečnostními experty během několika posledních týdnů na Ukrajině detekován.
V předvečer ruské invaze zachytila společnost ESET malware HermeticWiper v sítích řady významných ukrajinských organizací. Později byly v podrobné analýze popsány další škodlivé kódy – worm (červ) HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, a ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost. V den invaze pak proběhl druhý útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť.
Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií. Podrobné informace jsou stále předmětem hlubších analýz.
Situace v Česku
S ohledem na těžko předvídatelný vývoj konfliktu na Ukrajině sledují bezpečnostní analytici z ESETu podrobně také situaci v České republice. Aktuálně ale nejsou sledovány žádné výkyvy nad rámec standardní situace v počtu a charakteru kybernetických hrozeb v českém prostředí.
„V Česku sledujeme dlouhodobě řadu kybernetických hrozeb a útočných kampaní, v tuto chvíli ale žádnou nemůžeme dát do souvislosti s událostmi na Ukrajině. Česko je cílem kybernetických útoků dlouhodobě, situace se ale v tuto chvíli nijak nevymyká dlouhodobě pozorovanému stavu. Vyšší stav obezřetnosti je nicméně určitě namístě, konflikt v kybernetickém prostoru bude určitě daleko méně respektovat hranice jednotlivých států,“ shrnuje Cebák z ESETu.