Gli esperti di ESET hanno scoperto un nuovo attacco distruttivo contro i computer delle aziende ucraine. CaddyWiper è il terzo malware di questo tipo distribuito nel paese dall’inizio dell’invasione russa (il quarto considerando anche quello di gennaio). La software house non ha tuttavia rilevato similitudine con i precedenti HermeticWiper e IsaacWiper.
CaddyWiper: distruzione digitale
In base alla telemetria di ESET (una delle aziende che ha sospeso le vendite in Russia), CaddyWiper ha colpito finora una dozzina di sistemi di un numero limitato di organizzazioni. Sebbene non condivida il codice con HermeticWiper, la distribuzione del nuovo malware avviene in maniera simile, ovvero tramite GPO (Group Policy Object). Ciò significa che gli autori dell’attacco avevano già ottenuto il controllo della rete.
#BREAKING #ESETresearch warns about the discovery of a 3rd destructive wiper deployed in Ukraine 🇺🇦. We first observed this new malware we call #CaddyWiper today around 9h38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET Research (@ESETresearch) March 14, 2022
CaddyWiper verifica prima se il dispositivo è un controller di dominio. Se il risultato è positivo, i dati non vengono eliminati perché i cybercriminali vogliono mantenere l’accesso alla rete aziendale. Ovviamente la funzionalità principale è identica a quella dei suoi predecessori: cancellazione totale dei dati e delle informazioni delle partizioni sui drive collegati ai computer. Il sistema diventa quindi inutilizzabile. Al momento non è noto l’impatto del cyberattacco.
I wiper sono sfruttati per creare danni irreversibili alle vittime degli attacchi. I cybercriminali non cercano quindi di ottenere un profitto, come avviene con i ransomware. Probabilmente gli autori sono di origine russa, ma non ci sono conferme. Simili attacchi potrebbero colpire anche altri paesi. Le agenzie per la cybersicurezza degli Stati Uniti e dell’Italia hanno messo in guardia le aziende, consigliando misure che possono limitare i rischi.