CaddyWiper, un nouveau malware destructeur qui s’en prend à l’Ukraine
Les chercheurs en sécurité d'ESET ont découvert qu'un nouveau malware surnommé CaddyWiper s'attaque aux organisations ukrainiennes, notamment dans l'objectif de détruire les données sur les machines compromises.
Ce fameux CaddyWiper n'est pas sans rappeler la souche malveillante "Win32/KillDisk.NCV" identifiée par ESET fin février, et qui était également un data wipper. ESET explique que CaddyWiper détruit les données sur le disque dur et qu'il efface les informations liées aux partitions. Résultat, la machine se retrouve sans données et sans table de partitions.
D'après les informations de télémétrie d'ESET, CaddyWiper a été vu sur quelques dizaines de systèmes, dans un nombre limité d'organisations. Regardons d'un peu plus près le comportement de ce malware...
Lorsque CaddyWiper est exécuté sur une machine, il utilise la fonction DsRoleGetPrimaryDomainInformation() afin de vérifier si la machine est un contrôleur de domaine ou non. Dans le cas où c'est un contrôleur de domaine, les données ne sont pas supprimées. Ne soyez pas surpris, c'est une technique courante afin de garder un accès à l'infrastructure compromise et pouvoir continuer à agir sur d'autres machines.
ESET précise que CaddyWiper ne présente aucune similitude avec HermeticWiper, IsaacWiper ou tout autre malware connu, au niveau de son code. Dans le même esprit qu'avec HermeticWiper, ESET a pu constater que CaddyWiper été déployé via GPO, ce qui permet d'affirmer que les attaquants avaient préalablement compromis l'infrastrure cible.
Finalement, depuis le début de la guerre en Ukraine, c'est déjà le quatrième malware de type "data wipper" qui est identifié au sein d'attaques contre des organisations ukrainiennes. ESET a fait la découverte de HermeticWiper, IsaacWiper et désormais CaddyWiper, tandis que Microsoft a pu identifier un malware surnommé WhisperGate. Généralement, ces attaques ciblent des organisations spécifiques.
