Ukrayna’ya yönelik saldırılarda sağlanan ikinci bir veri silecek türü hakkında ayrıntılar ortaya çıktıktan iki hafta sonra, Rusya’nın ülkeyi devam eden askeri işgali sırasında başka bir yıkıcı kötü amaçlı yazılım tespit edildi.
Slovak siber güvenlik şirketi ESET, üçüncü silecek olarak adlandırdı “CaddySilecek,” ilk kez 14 Mart saat 9:38 UTC civarında gözlemlediğini söyledi. Yürütülebilir dosyayla ilişkili meta veriler (“caddy.exe“), kötü amaçlı yazılımın, dağıtımdan iki saatten biraz daha uzun bir süre önce UTC saatiyle 07:19’da derlendiğini gösteriyor.
Şirket, “Bu yeni kötü amaçlı yazılım, bağlı sürücülerden kullanıcı verilerini ve bölüm bilgilerini siler” dedi. dedim bir tweet dizisinde. “ESET telemetrisi, sınırlı sayıda kuruluşta birkaç düzine sistemde görüldüğünü gösteriyor.”
CaddyWiper, ikisi hükümet ve ticari kuruluşlara ait sistemlerde konuşlandırılmış HermeticWiper (aka FoxBlade veya KillDisk) ve IsaacWiper (aka Lasainraw) dahil olmak üzere Ukrayna’da daha önce keşfedilen sileceklerle hiçbir benzerliği paylaşmaması gerçeğiyle dikkat çekiyor. varlıklar.
CaddyWiper’dan farklı olarak, hem HermeticWiper hem de IsaacWiper kötü amaçlı yazılım ailelerinin, sırasıyla 28 Aralık ve 19 Ekim 2021’de derlenen bilinen en eski örnekleriyle, yayınlanmadan önce aylar öncesinden geliştirildikleri söyleniyor.
Ancak yeni keşfedilen silecek, HermeticWiper ile bir taktiksel örtüşmeyi paylaşıyor, çünkü kötü amaçlı yazılım, bir durumda Windows etki alanı denetleyicisi aracılığıyla dağıtıldı ve bu, saldırganların Active Directory sunucusunun kontrolünü ele geçirdiğini gösteriyor.
Şirket, “İlginç bir şekilde CaddyWiper, etki alanı denetleyicilerindeki verileri yok etmekten kaçınıyor” dedi. “Bu muhtemelen saldırganların operasyonları aksatmaya devam ederken erişimlerini organizasyon içinde tutmalarının bir yolu.”
HermeticWiper saldırılarını DEV-0665 olarak izlenen bir tehdit kümesine bağlayan Microsoft, ülkedeki “bu saldırıların amaçlanan amacının hedeflenen kaynakların bozulması, bozulması ve yok edilmesi” olduğunu söyledi.
Siber suçlular, Remcos gibi çeşitli arka kapılar sunmak için insani yardım ve çeşitli bağış toplama temaları da dahil olmak üzere kimlik avı cazibeleri tasarlamak için fırsatçı ve giderek artan bir şekilde çatışmadan yararlandıkça bu gelişme de ortaya çıkıyor.
Cisco Talos araştırmacıları, “Ukrayna’da devam eden savaşa yönelik küresel ilgi, onu siber suçluların yararlanabileceği uygun ve etkili bir haber etkinliği haline getiriyor.” dedim. “Belirli bir cazibe konusu, potansiyel bir kurbanın yüklerini yükleme şansını artıracaksa, onu kullanacaklardır.”
Ancak silecek saldırılarının hedefi olan sadece Ukrayna değil. Geçen hafta, siber güvenlik firması Trend Micro, .NET tabanlı bir sileceğin ayrıntılarını açıkladı. fidye Dosyaları rastgele oluşturulmuş bir şifreleme anahtarıyla şifreleyerek yalnızca Rusya’daki varlıkları hedef alan.
Araştırmacılar, “Anahtarlar, her şifrelenmiş dosya için benzersizdir ve hiçbir yerde saklanmaz, bu da şifrelemeyi geri alınamaz hale getirir ve kötü amaçlı yazılımı bir fidye yazılımı varyantı yerine bir silecek olarak işaretler” dedi.
