Bezpečnostní společnosti několikrát týdně informují o nových typech škodlivého softwaru, který útočí na evropské počítače, kdy v některých případech je cílem přímo Ukrajina. Analytici společnosti ESET nově zachytili destruktivní malware CaddyWiper, který byl zaměřen právě na tamní finanční instituce. Opět jde o tzv. wiper, jehož primárním cílem je ničení dat a ochromení chodu organizace.
Škodlivý kód s označením Win32/KillDisk.NCX byl detekován analytiky společnosti ESET v pondělí 14. března v 11:38 tamního času na několika desítkách zařízení hned v několika organizacích působících i ve finančním sektoru. Na rozdíl od dříve použitého malwaru je CaddyWiper jednodušším typem a pravděpodobně začal vznikat teprve v několika posledních dnech.
„CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.
Díky informacím o útocích z posledních týdnů se bezpečnostní experti domnívají, že dotčené organizace byly již jedním z předchozích wiperů napadeny a aktuální útok tak mohl těžit ze znalosti prostředí i z nedostatečně rychlé opravy zranitelností systému.
„I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. To znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem se službou Active Directory. Ta mimo jiné také v počítačové síti zajišťuje autentizaci a autorizaci uživatelů,“ dodává Cebák.
Malware CaddyWiper je již třetím škodlivým kódem typu wiper, který byl bezpečnostními experty během několika posledních týdnů na Ukrajině detekován.
V předvečer ruské invaze zachytila společnost ESET malware HermeticWiper v sítích řady významných ukrajinských organizací. Později byly v podrobné analýze popsány další škodlivé kódy – červ HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, či ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost. V den invaze pak proběhl druhý útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť.
IoC: 98b3fb74b3e8b3f9b05a82473551c5a77b576d54 (caddy.exe)
Poznámka: IoC neboli Indicator of compromise představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačnou identifikaci hrozby. Bezpečnostní komunita na jeho základě může hrozbě lépe čelit.
Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií. Podrobné informace jsou stále předmětem hlubších analýz.
Jaká je situace v Česku?
S ohledem na těžko předvídatelný vývoj konfliktu na Ukrajině sledují bezpečnostní analytici z ESETu podrobně také situaci v České republice. Aktuálně ale nejsou sledovány žádné výkyvy nad rámec standardní situace v počtu a charakteru kybernetických hrozeb v českém prostředí.
„V Česku sledujeme dlouhodobě řadu kybernetických hrozeb a útočných kampaní, ale v tuto chvíli žádnou nemůžeme dát do souvislosti s událostmi na Ukrajině. Česko je cílem kybernetických útoků dlouhodobě, ale situace se v tuto chvíli nijak nevymyká dlouhodobě pozorovanému stavu. Vyšší stav obezřetnosti je nicméně určitě namístě, konflikt v kybernetickém prostoru bude určitě daleko méně respektovat hranice jednotlivých států,“ shrnuje Cebák z ESETu.
ESET zastavil prodej svých produktů v Rusku a Bělorusku
Společnost ESET se v souvislosti s válkou na Ukrajině minulý týden rozhodla zastavit prodej produktů novým zákazníkům v Rusku a Bělorusku. Aktivně se také zapojila do humanitární pomoci a od začátku vojenské invaze nadále analyzuje stav kybernetických hrozeb na Ukrajině i jejich možné dopady nejen v zóně konfliktu. Společnost také kontinuálně pracuje na posílení zabezpečení nejen ukrajinských organizací a zákazníků, ale také sousedních států a zemí, které se zapojily do mezinárodní reakce na ruskou invazi.
Rozhodnutí zastavit prodej nových produktů se týká domácích uživatelů, firem i velkých organizací. Prodej produktů vládním institucím byl zakázaný již v roce 2016, kdy ruská vláda zavedla legislativu a daňová i certifikační pravidla zvýhodňující místní dodavatele.
Společnost ESET se také aktivně zapojila do humanitární pomoci. Nadace ESET vytvořila fond na pomoc ukrajinským občanům, do kterého dosud vložila 500 tisíc eur. Tyto prostředky budou využity na přímou pomoc a jako dar nevládním organizacím Nadaci Integra a UNICEF. ESET také spustil finanční sbírku, kam mohou přispívat její zaměstnanci, kteří mají také plnou podporu společnosti, pokud se chtějí zapojit jako dobrovolníci do humanitárních aktivit. Pro tyto aktivity jim společnost poskytuje prostor v rámci jejich pracovní doby. ESET také zabezpečuje pomoc zaměstnancům na straně ukrajinského obchodního partnera a jejich rodinám, a to ve formě ubytování a finanční podpory.
Michal Javůrek
Další dnešní články
