Zwei Wochen nach dem Bekanntwerden eines zweiten Datenabwischers, der bei Angriffen auf die Ukraine eingesetzt wurde, wurde eine weitere zerstörerische Malware inmitten der anhaltenden militärischen Invasion Russlands in dem Land entdeckt.
Das slowakische Cybersicherheitsunternehmen ESET nannte den dritten Wiper „CaddyWiper“, den es am 14. März gegen 9:38 Uhr UTC erstmals beobachtete. Die Metadaten der ausführbaren Datei („caddy.exe“) zeigen, dass die Malware um 7:19 Uhr UTC kompiliert wurde, also etwas mehr als zwei Stunden vor ihrem Einsatz.
„Diese neue Malware löscht Benutzerdaten und Partitionsinformationen von angeschlossenen Laufwerken“, teilte das Unternehmen in einem Tweet-Thread mit. „Die ESET-Telemetrie zeigt, dass sie auf ein paar Dutzend Systemen in einer begrenzten Anzahl von Unternehmen gesehen wurde.
CaddyWiper fällt dadurch auf, dass er keine Ähnlichkeiten mit den zuvor in der Ukraine entdeckten Wipern HermeticWiper (auch bekannt als FoxBlade oder KillDisk) und IsaacWiper (auch bekannt als Lasainraw) aufweist, die beide in Systemen von staatlichen und kommerziellen Einrichtungen eingesetzt wurden.
Im Gegensatz zu CaddyWiper sollen sowohl die HermeticWiper- als auch die IsaacWiper-Malwarefamilie monatelang vor ihrer Veröffentlichung entwickelt worden sein. Die ältesten bekannten Samples wurden am 28. Dezember bzw. 19. Oktober 2021 erstellt.
Der neu entdeckte Wiper hat jedoch eine taktische Überschneidung mit HermeticWiper: In einem Fall wurde die Malware über den Windows-Domänencontroller verbreitet, was darauf hindeutet, dass die Angreifer die Kontrolle über den Active Directory-Server übernommen haben.
„Interessanterweise vermeidet CaddyWiper die Zerstörung von Daten auf Domänencontrollern“, so das Unternehmen. „Das ist wahrscheinlich eine Möglichkeit für die Angreifer, ihren Zugang innerhalb der Organisation zu behalten und trotzdem den Betrieb zu stören.“
Microsoft, das die HermeticWiper-Angriffe einem Bedrohungscluster mit der Bezeichnung DEV-0665 zuordnete, erklärte, dass das „beabsichtigte Ziel dieser Angriffe die Störung, Beeinträchtigung und Zerstörung von Zielressourcen“ in dem Land sei.
Cyberkriminelle haben sich den Konflikt zunehmend zunutze gemacht, um Phishing-Köder zu entwerfen, die humanitäre Hilfe und verschiedene Arten von Spendenaktionen zum Inhalt haben, um eine Vielzahl von Hintertüren wie Remcos zu installieren.
„Das weltweite Interesse an dem andauernden Krieg in der Ukraine macht ihn zu einem bequemen und effektiven Nachrichtenereignis, das Cyberkriminelle ausnutzen können“, so die Forscher von Cisco Talos. „Wenn ein bestimmtes Köder-Thema die Wahrscheinlichkeit erhöht, dass ein potenzielles Opfer seine Nutzlast installiert, werden sie es nutzen.
Aber nicht nur die Ukraine ist Opfer von Wiper-Angriffen geworden. Letzte Woche hat das Cybersicherheitsunternehmen Trend Micro Details über einen .NET-basierten Wiper namens RURansom veröffentlicht, der ausschließlich auf Unternehmen in Russland abzielt, indem er die Dateien mit einem zufällig generierten kryptografischen Schlüssel verschlüsselt.
„Die Schlüssel sind für jede verschlüsselte Datei einzigartig und werden nirgendwo gespeichert, was die Verschlüsselung unumkehrbar macht und die Malware als Wiper und nicht als Ransomware-Variante kennzeichnet“, so die Forscher.