データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目
データを盗み出すスパイウェアや暗号化して金銭を要求するランサムウェアとは異なり、純粋にデータを破壊することによる攻撃を目的にしたワイパー型マルウェアの「CaddyWiper」が、ウクライナで見つかりました。ロシアによる侵攻が始まった2022年2月以降、ウクライナで同様のマルウェアが見つかったのは今回で3つ目です。
New CaddyWiper data wiping malware hits Ukrainian networks
https://www.bleepingcomputer.com/news/security/new-caddywiper-data-wiping-malware-hits-ukrainian-networks/
Researchers find new destructive wiper malware in Ukraine - The Verge
https://www.theverge.com/2022/3/14/22977873/ukraine-new-destructive-caddywiper-malware-eset
ウクライナの隣国スロバキアを拠点とするサイバーセキュリティ企業のESETが2022年3月15日に、データを削除するワイパー型マルウェアのCaddyWiperを初めて発見したことをTwitterで報告しました。
#BREAKING #ESETresearch warns about the discovery of a 3rd destructive wiper deployed in Ukraine ????????. We first observed this new malware we call #CaddyWiper today around 9h38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET research (@ESETresearch) March 14, 2022
ESETによると、CaddyWiperは感染したマシンに接続されたあらゆるデバイスからユーザーデータやパーティション情報を消去し、ファイルデータをヌルバイト文字で上書きして復元不可能にしてしまうとのこと。
また、マシンがネットワークを管理するドメインコントローラかどうかを識別し、そのマシンのデータを消去しないようにするコードも確認されています。これについて、セキュリティ情報を扱うニュースサイト・BleepingComputerは「攻撃者がターゲットにした組織内に確立した侵入経路を維持しつつ他のデバイスのデータを消去し、組織に大きなダメージを与えるための戦術だと考えられます」と指摘しました。
Interestingly, CaddyWiper avoids destroying data on domain controllers. This is probably a way for the attackers to keep their access inside the organization while still disturbing operations. 5/7 pic.twitter.com/xiXgOMe5wr
— ESET research (@ESETresearch) March 14, 2022
ESETの研究責任者であるJean-Ian Boutin氏は、IT系ニュースサイトのThe Vergeに対して「このワイパーが機能すれば、システムが実質的に使えなくなることが分かっています。しかし、この攻撃の全体的な影響はまだ分かっていません」と述べました。ESETの調査によると、CaddyWiperの標的になった組織はこれまでのところ1つのみとのことです。
ウクライナでは、CaddyWiperと同様にデータを破壊することを主眼としたマルウェアがこれまでに3つ見つかっています。1つ目は、ウクライナとロシアの国境で緊張が高まりつつあった2022年1月中旬に、ランサムウェアに偽装した攻撃で見つかった「WhisperGate」です。このワイパーは、Microsoftにより発見されました。
さらに、ESETはウクライナ侵攻が始まる前日の2月23日に同じくワイパーの「HermeticWiper」を、侵攻当日の23日に「IsaacWiper」を発見しています。
CaddyWiper does not share any significant code similarity with #HermeticWiper, #IsaacWiper or any other malware known to us. The sample we analyzed was not digitally signed. 3/7https://t.co/EGp9NnctD9
— ESET research (@ESETresearch) March 14, 2022
これまでのところ、ウクライナで確認された同様のマルウェアが目標以外の組織を攻撃したとの報告はありません。しかし、2017年にはウクライナへのサイバー攻撃で発見されたランサムウェアが世界的に猛威を振るった事例も発生していることから、アメリカのサイバーセキュリティ・インフラセキュリティ庁はウクライナで見つかった破壊的なマルウェアへの注意を促す勧告を発令しています。
・関連記事
ロシアの侵略前からウクライナのサイバー防衛のための極秘ミッションをアメリカが進めていたことが明らかに、すでに100万人の命を救ったとも - GIGAZINE
「破壊的なサイバー攻撃」がロシアによる侵攻直前にウクライナを襲ったもののMicrosoftが速攻で対応していた - GIGAZINE
ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見 - GIGAZINE
対岸の火事ではない「ロシアからのサイバー攻撃」に対して知っておかなければならない7つのポイント - GIGAZINE
ウクライナが重要インフラの保護やロシア軍へのスパイミッションに従事するハッカーを募集 - GIGAZINE
ウクライナの「IT軍」結成後にロシア政府機関など多くのサイトがダウン - GIGAZINE
・関連コンテンツ