CaddyWiper Malware ontketend tegen Oekraïense netwerken

Russische cybercriminelen blijven nieuwe malware ontketenen tegen Oekraïense systemen en netwerken. Vanwege de aard van het huidige conflict zijn ze niet gericht op het bespioneren van hun slachtoffers of het stelen van informatie. In plaats daarvan gebruiken ze destructieve bedreigingen, zoals de CaddyWiper Malware. Hoewel het qua functionaliteit identiek is aan HermeticWiper en IsaacWiper , lijkt het geen spin-off van een van die twee te zijn. In plaats daarvan is het een uniek implantaat dat een destructieve aanval uitvoert die bedoeld is om systemen volledig af te breken.

Het is belangrijk om toe te voegen dat noch de netwerken, die werden aangevallen door de CaddyWiper Malware, waarschijnlijk al lange tijd gecompromitteerd zijn. De situatie was hetzelfde met de andere twee hierboven genoemde ruitenwissers. Waarschijnlijk hebben de cybercriminelen al lange tijd toegang tot het systeem en wachtten ze op het juiste moment om de schadelijke software in te zetten.

De CaddyWiper Malware is bedoeld om bestanden uit verschillende mappen te verwijderen, maar het verwijdert de MBR niet zoals de andere twee bedreigingen die we noemden. Een interessante eigenaardigheid van CaddyWiper Malware is het feit dat het het versleutelen van gegevens met betrekking tot domeincontrollers overslaat. Het doel van deze actie is ervoor te zorgen dat de criminelen nog steeds toegang hebben tot andere systemen in het netwerk - als de gegevens van de domeincontroller zouden worden verwijderd, zou dit onmogelijk zijn.

De Russische cyberaanvallen op Oekraïners zijn zeker nog lang niet voorbij. Het feit dat de hackers die voor hen verantwoordelijk zijn, toegang hebben gehad tot de gecompromitteerde systemen lang voordat de malware werd geïmplementeerd, betekent waarschijnlijk dat ze in het verleden andere, onder de radar vallende aanvallen hebben uitgevoerd