CaddyWiper：又一个针对乌克兰网络的数据清除恶意软件

两周前，在针对乌克兰的攻击中，第二次数据传输的细节被披露，但在俄罗斯继续对该国进行军事入侵的过程中，又发现了另一个破坏性恶意软件。

斯洛伐克网络安全公司ESET称之为“第三个雨刷”节省雨刷该公司称，它在UTC时间3月14日上午9:38左右首次观察到该病毒。与该可执行文件（“caddy.exe”）相关的元数据显示，该恶意软件是在UTC时间上午7:19编译的，距离部署时间还有两个多小时。

CaddyWiper值得注意的是，它与之前在乌克兰发现的雨刮器没有任何相似之处，包括HermiticWiper（又名FoxBlade或KillDisk）和IsaacWiper（又名Lasainraw），这两种雨刮器已部署在属于政府和商业实体的系统中。

Jean-Ian Boutin&cedil说：“攻击者的最终目标与IsaacWiper和HermiticWiper相同：通过删除用户数据和分区信息，使系统无法使用。”；ESET威胁研究负责人告诉黑客新闻。“最近雨刷袭击所针对的所有组织要么是政府部门，要么是金融部门。”

与CaddyWiper不同的是，HeMeTwitter和iAsAcWipe恶意软件家族据说在发布之前已经提前几个月开发，最早的已知样本分别在12月28日和2021年10月19日被编译。

但新发现的雨刷与HermiticWiper有一个战术上的重叠，即恶意软件在一个实例中是通过Windows域控制器部署的，这表明攻击者已经控制了Active Directory服务器。

“有趣的是，CaddyWiper避免破坏域控制器上的数据，”该公司说。“这可能是攻击者在组织内部保持访问权限的一种方式，同时仍会干扰操作。”

微软将HermiticWiper攻击归因于一个被追踪为DEV-0665的威胁集群，称“这些攻击的预期目标是破坏、降低和破坏该国的目标资源”。

随着网络犯罪分子机会主义地越来越多地利用这场冲突来设计钓鱼诱饵，包括人道主义援助和各种类型的筹款主题，以提供各种后门，如Remco，这种发展也随之到来。

Cisco Talos的研究人员说：“全球对正在进行的乌克兰战争的兴趣，使其成为网络犯罪分子利用的方便而有效的新闻事件。”。“如果诱饵的某个主题会增加潜在受害者安装有效载荷的可能性，他们会使用它。”

但不仅仅是乌克兰受到了袭击。上周，网络安全公司趋势科技（Trend Micro）披露了一项调查的细节。NET的雨刷器，名为RURansom，通过使用随机生成的加密密钥加密文件，专门针对俄罗斯的实体。

研究人员指出：“每个加密文件的密钥都是唯一的，不会存储在任何地方，这使得加密不可逆，并将恶意软件标记为雨刷器，而不是勒索软件变体”。