CaddyWiper ist die vierte neue Malware im Zusammenhang mit dem Krieg in der Ukraine

Während der Angriff des russischen Diktators Wladimir Putin auf das Land in die dritte Woche geht, haben Sicherheitsforscher eine weitere destruktive datenlöschende Malware entdeckt, die bei Cyberangriffen auf Organisationen in der Ukraine eingesetzt wird.

CaddyWiper ist der bisher vierte Datenlöscher im Zusammenhang mit dem Krieg in der Ukraine – und der dritte, der von Analysten des slowakischen Unternehmens entdeckt wurde ESET, das zuvor zwei neue Malware mit den Namen HermeticWiper und IsaacWiper gemeldet hatte. Das erste war WhisperGate, das vor der Invasion bei Angriffen auf ukrainische Regierungsbehörden eingesetzt wurde.

sagte ESET CaddyWiper wurde erstmals am Montag, dem 14. März 2022, um 9:38 Uhr britischer Zeit entdeckt. Es zerstört Benutzerdaten und Partitionen verbundener Laufwerke und wurde bisher auf mehreren Dutzend Systemen in einer begrenzten Anzahl von Organisationen gesehen. ESET-Produkte erkennen es als Win32/KillDisk.NCX.

Analysten sagten, dass CaddyWiper keine größeren Programmierähnlichkeiten mit seinen Vorgängern aufzuweisen scheint, obwohl es Beweise dafür gibt, dass seine Benutzer wie HermeticWiper die Netzwerke ihrer Opfer lange vor ihrer Bereitstellung infiltriert haben, obwohl der Header der tragbaren ausführbaren Datei (PE) darauf hindeutet am selben Tag zusammengestellt, an dem es bereitgestellt wurde.

Außerdem fehlte dem von ESET analysierten CaddyWiper-Muster im Gegensatz zu seinen Vorgängern eine digitale Signatur.

Nasser Fattah, Vorsitzender des nordamerikanischen Lenkungsausschusses und Spezialist für Risikomanagement Geteilte Bewertungensagte: „Wie erwartet wird zerstörerische Malware während des Konflikts in Osteuropa de facto die Art von Malware sein, da sie darauf ausgelegt ist, gezielte Technologien nicht nur funktionsunfähig, sondern auch nicht wiederherstellbar zu machen.“

„Das Ziel ist es, die zugrunde liegende Technologie zu zerstören, die kritische Geschäftsfunktionen unterstützt. Hier wird zerstörerische Malware aus politischen Gründen vorangetrieben, wobei eine vollständige Störung des Systems schwere finanzielle Schäden sowie erhebliche menschliche Verluste verursachen kann – denken Sie an Wasserreinigungssysteme, die nicht mehr funktionieren, oder Krankenhäuser, die keinen Strom haben.

Rajiv Pimplaskar, CEO von streuende Mittel, ein Spezialist für gehärtete virtuelle private Netzwerke (VPNs), fügte hinzu: „Einer der wichtigsten Angriffsvektoren für das Eindringen von Malware ist das Erkunden von Netzwerkschwachstellen. Typische private und öffentliche Cloud-Infrastrukturen machen es anspruchsvollen Angreifern relativ einfach, interessante Ressourcen und Datenströme zu identifizieren, sodass sie über einen Man-in-the-Middle abgefangen werden können. [MITM] angreifen sowie verschiedene Operationen durchführen, einschließlich der Eroberung des gemeinsamen geheimen Austauschs.

„Unternehmen und Regierungen sollten ein verwaltetes Attributionsmodell in Betracht ziehen, das hochwertige Datenströme während der Übertragung sowie zugrunde liegende und potenziell feindliche Netzwerkressourcen-Endpunkte maskiert, wodurch die Erkennung praktisch unmöglich wird und noch weniger das Abfangen sensibler Daten.“

Da die von Nationalstaaten verwendeten Taktiken, Techniken und Verfahren für Cyberangriffe eine vorhersehbare Tendenz haben, in die Hände von Cyberkriminellen zu fallen, hat Peter Stelzhamer, Mitbegründer von AV-Vergleicheein österreichischer Spezialist im Vergleich von Antiviren-Tools, sagte, es sei wichtig, dass sich Unternehmen und Verbraucher schützen.

Er riet den Benutzern, den Schutz von Antiviren-Software auf dem neuesten Stand und aktiviert zu halten; um Betriebssysteme sowie Anwendungen von Drittanbietern gepatcht und aktualisiert zu halten; und alle Dateien und Software zu sichern.