Na rozdíl od dříve použitého malware je CaddyWiper jednodušším typem malwaru, který pravděpodobně začal vznikat teprve v několika posledních dnech. Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny a aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.
"CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války. I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů," říká Michal Cebák, bezpečnostní analytik společnosti ESET.
Aktuální situace na Ukrajině z pohledu kyberbezpečnosti
Malware CaddyWiper je již třetím škodlivým kódem typu wiper, který byl bezpečnostními experty během několika posledních týdnů na Ukrajině detekován.
V předvečer ruské invaze zachytila společnost ESET malware HermeticWiper v sítích řady významných ukrajinských organizací.
Později byly v podrobné analýze popsány další škodlivé kódy - worm (červ) HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, či ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost.
V den invaze pak proběhl druhý útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť.
Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií.
Podrobné informace jsou stále předmětem hlubších analýz.
Situace v Česku
S ohledem na těžko předvídatelný vývoj konfliktu na Ukrajině sledují bezpečnostní analytici z ESETu podrobně také situaci v České republice. Aktuálně ale nejsou sledovány žádné výkyvy nad rámec standardní situace v počtu a charakteru kybernetických hrozeb v českém prostředí.
Česko je cílem kybernetických útoků dlouhodobě, situace se ale v tuto chvíli nijak nevymyká dlouhodobě pozorovanému stavu. Vyšší stav obezřetnosti je nicméně určitě namístě, konflikt v kybernetickém prostoru bude určitě daleko méně respektovat hranice jednotlivých států.
IoC - Indicator of compromise:
IoC představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačnou identifikaci hrozby - bezpečnostní komunita na jeho základě může hrozbě lépe čelit.
Uživatelé produktů ESET jsou před těmito hrozbami chráněni.
Společnost ESET bude zveřejňovat další informace.
Článek ze dne 16. března 2022 - středa
Špionážní kampaň APT skupiny StrongPity cílí na uživatele platformy Android
Pozor na podvodný spam v chatovací aplikaci Messenger
Phishing v Česku jako nový typ stálé hrozby
Shrnutí vývoje kybernetických hrozeb v roce 2022
Ukrajina je stále hlavním cílem APT skupin napojených na Rusko
Vnímání kybernetických hrozeb u malých a středních firem
ESET Threat Report T2 2022 mapuje globální vývoj kybernetických hrozeb
Češi často sdílí přihlašovací údaje pro více služeb
Lepší ochrana před ransomwarem a zabezpečení online plateb pro domácí uživatele
Špionážní malware zneužívá populární cloudové služby
Jiří Bracek v čele českého týmu pro výzkum a vývoj ESET Research
ESET slaví 30 let nepřetržitých inovací v oblasti IT bezpečnosti
Bezpečnostní produkty ESET za zvýhodněnou cenu
Nový malware typu backdoor pro platformu macOS
Globální finanční výsledky ESET za rok 2021
Vývoj kybernetických hrozeb v souvislosti s válkou na Ukrajině
Nové produkty kybernetické bezpečnosti pro ISP a Telco operátory
Globální útok ATP skupiny Lazarus na letecké a obranné společnosti
Globální iniciativa ESET Heroes of Progress hledá hrdiny pokroku a vizionáře
Pozor na inzertní podvody na internetových bazarech
Tým z ESET Research na kybernetickém cvičení NATO
Platforma ESET PROTECT pomáhá se správou kybernetické bezpečnosti firmy
Ransomware WannaCry stále představuje riziko pro kritickou infrastrukturu
Nové investice do technologické divize ESET Research v České republice
Aktualizace produktů platformy ESET PROTECT pro firemní zákazníky
Kybernetický útok na energetickou infrastrukturu Ukrajiny
ESET produkty pro domácí uživatele s Windows chrání zařízení s ARM procesory
Destruktivní malware CaddyWiper cílí na finanční instituce Ukrajiny
Integrace Intel technologií detekce ransomwaru do ESET produktů
Ukončení prodeje ESET produktů v Rusku a Bělorusku
Stav kybernetických hrozeb na Ukrajině
Malware HermeticWiper použitý na Ukrajině cílí na uživatelská data a firemní sítě
Informace k aktuálním útokům na servery MS Exchange
ESET úspěšně rozvíjí svůj MSP distribuční kanál
Skupina kyberzločinců ALPHV ochromila kritickou infrastrukturu v Německu
Analýza ranitelnosti ovladačů jádra Windows
Predikce kybernetických hrozeb v roce 2022 v Česku
Rok 2021 byl ve znamení kybernetických útoků na uživatelská hesla a přihlašovací údaje
Vývoj globálních kybernetických hrozeb
Útočné kampaně s technikou Watering hole cílí na zpravodajské weby evropských médií
Ochrana před ransomware v reálném čase
SMS phishing cílí na české uživatele iPhone
Velkou roli hrají v komunikaci mezi studenty sociální sítě
Bootkit ESPecter upravuje modul Windows Boot Manager
Pravděpodobná kyberšpionáž nově odhalené skupiny FamousSparrow
Kybertest si vyzkoušelo 100 tisíc Čechů