«Данные стираются навсегда»: пророссийские хакеры атакуют Украину новым зловредом — исследователи ESET

Исследователи безопасности из словацкой компании ESET обнаружили в Украине новый тип разрушительного вредоноса. Программное обеспечение, которое получило название CaddyWiper, поражает компьютеры и удаляет с него данные без возможности восстановления. По словам специалистов, это уже как минимум третий вид вредоносного ПО, которое нацелено на уничтожение украинских систем с начала войны. 

Новый вредонос 

Подробнее информацией о своей находке исследователи поделились в Twitter 14 марта. По их словам, вредоносная программа стирает пользовательские данные и информацию о разделах с любых дисков, которые подключены к взломанной машине. По образцу кода специалисты поняли, что вредоносная программа повреждает файлы на машине, перезаписывая их символам нулевого байта, после чего они не подлежат восстановлению. 

«Если Wiper сработает, он фактически сделает систему бесполезной, однако на данный момент неясно, каковы общие последствия атаки. Пока количество случаев заражения невелико. В ходе исследований была замечена одна компания, которая подверглась нападению с помощью CaddyWiper», — рассказал руководитель отдела исследований угроз в ESET Жан-Иан Бутен.

Первые атаки 

Ранее компания ESET обнаружила еще два штамма вредоносного ПО Wiper, нацеленных на компьютеры в Украине. Первый случай, который исследователи назвали HermeticWiper, обнаружили 23 февраля, за день до того, как Россия начала военное вторжение в Украину. Другой Wiper, известный как IsaacWiper, развернули в Украине 24 февраля.

Однако график, который предоставила компания ESET, свидетельствует о том, что IsaacWiper и HermeticWiper находился в разработке в течение нескольких месяцев до их выпуска.

График разработки IsaacWiper и HermeticWiper

Программы-чистильщики немного похожи на программы-вымогатели в плане способности получать доступ и изменять файлы на взломанной системе, но в отличие от программ-вымогателей, которые шифруют данные на диске до тех пор, пока злоумышленникам не будет выплачена плата за разблокировку, программы-чистильщики навсегда удаляют данные с диска и не дают возможности их восстановить. Это означает, что цель вредоносного ПО — исключительно нанесение ущерба объекту атаки, а не извлечение какого-либо финансового вознаграждения для злоумышленника.

В то время как пророссийские хакеры используют вредоносные программы для уничтожения данных на украинских компьютерных системах, некоторые хакеры, поддерживающие Украину (в том числе участники IT-армии), применяют противоположный подход, используя утечку данных российских предприятий и государственных учреждений в качестве наступательной тактики.

По мнению специалистов, в целом, масштабных киберстолкновейний в российско-украинском конфликте пока не было, но не исключено, что у обеих сторон есть еще что-то в запасе.

Подробнее о том, чем занимается Минцифры для противодействия России в информационном пространстве, Highload рассказывал здесь.