データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目

データを盗み出すスパイウェアや暗号化して金銭を要求するランサムウェアとは異なり、純粋にデータを破壊することによる攻撃を目的にしたワイパー型マルウェアの「CaddyWiper」が、ウクライナで見つかりました。ロシアによる侵攻が始まった2022年2月以降、ウクライナで同様のマルウェアが見つかったのは今回で3つ目です。

New CaddyWiper data wiping malware hits Ukrainian networks
https://www.bleepingcomputer.com/news/security/new-caddywiper-data-wiping-malware-hits-ukrainian-networks/

Researchers find new destructive wiper malware in Ukraine - The Verge
https://www.theverge.com/2022/3/14/22977873/ukraine-new-destructive-caddywiper-malware-eset

ウクライナの隣国スロバキアを拠点とするサイバーセキュリティ企業のESETが2022年3月15日に、データを削除するワイパー型マルウェアのCaddyWiperを初めて発見したことをTwitterで報告しました。

ESETによると、CaddyWiperは感染したマシンに接続されたあらゆるデバイスからユーザーデータやパーティション情報を消去し、ファイルデータをヌルバイト文字で上書きして復元不可能にしてしまうとのこと。

また、マシンがネットワークを管理するドメインコントローラかどうかを識別し、そのマシンのデータを消去しないようにするコードも確認されています。これについて、セキュリティ情報を扱うニュースサイト・BleepingComputerは「攻撃者がターゲットにした組織内に確立した侵入経路を維持しつつ他のデバイスのデータを消去し、組織に大きなダメージを与えるための戦術だと考えられます」と指摘しました。

ESETの研究責任者であるJean-Ian Boutin氏は、IT系ニュースサイトのThe Vergeに対して「このワイパーが機能すれば、システムが実質的に使えなくなることが分かっています。しかし、この攻撃の全体的な影響はまだ分かっていません」と述べました。ESETの調査によると、CaddyWiperの標的になった組織はこれまでのところ1つのみとのことです。

ウクライナでは、CaddyWiperと同様にデータを破壊することを主眼としたマルウェアがこれまでに3つ見つかっています。1つ目は、ウクライナとロシアの国境で緊張が高まりつつあった2022年1月中旬に、ランサムウェアに偽装した攻撃で見つかった「WhisperGate」です。このワイパーは、Microsoftにより発見されました。

さらに、ESETはウクライナ侵攻が始まる前日の2月23日に同じくワイパーの「HermeticWiper」を、侵攻当日の23日に「IsaacWiper」を発見しています。

これまでのところ、ウクライナで確認された同様のマルウェアが目標以外の組織を攻撃したとの報告はありません。しかし、2017年にはウクライナへのサイバー攻撃で発見されたランサムウェアが世界的に猛威を振るった事例も発生していることから、アメリカのサイバーセキュリティ・インフラセキュリティ庁はウクライナで見つかった破壊的なマルウェアへの注意を促す勧告を発令しています。