ESET-Forscher haben einen weiteren zerstörerischen Datenwiper entdeckt, der bei Angriffen auf Organisationen in der Ukraine verwendet wurde.

Die von den ESET Analysten CaddyWiper getaufte Malware wurde erstmals am Montag um 11:38 Uhr Ortszeit (9:38 Uhr UTC) entdeckt. Der Wiper, der Benutzerdaten und Partitionsinformationen von angeschlossenen Laufwerken zerstört, wurde auf mehreren Dutzend Systemen in einer begrenzten Anzahl von Organisationen entdeckt. Es wird von ESET-Produkten als Win32/KillDisk.NCX erkannt.

CaddyWiper hat keine größeren Code-Ähnlichkeiten mit HermeticWiper oder IsaacWiper, den beiden anderen neuen Datenwipern, mit denen Organisationen in der Ukraine seit dem 23. Februar angegriffen wurden.

Ähnlich wie bei HermeticWiper gibt es jedoch Hinweise darauf, dass die Angreifer hinter CaddyWiper die Zielnetzwerke infiltriert hatten, bevor sie der zerstörerischen Malware freien Lauf ließen.

Ein Wiper in der Woche

Dies ist das dritte Mal in ebenso vielen Wochen, dass ESET-Forscher einen zuvor unbekannten Stamm einer datenlöschenden Malware in der Ukraine entdeckt haben.

Am Vorabend der russischen Invasion in der Ukraine hat die Telemetrie von ESET HermeticWiper in den Netzwerken einer Reihe hochkarätiger ukrainischer Organisationen entdeckt. Die Cyberangriffe nutzten auch HermeticWizard, einen eigens angepassten Wurm, der zur Verbreitung von HermeticWiper in lokalen Netzwerken verwendet wird, und HermeticRansom, eine Ransomware, die den eigentlichen Grund des Angriffs verschleiern sollte.

Am nächsten Tag wurde ein zweiter zerstörerischer Angriff auf ein ukrainisches Regierungsnetzwerk festgestellt, diesmal mit dem Einsatz von IsaacWiper.

Die Ukraine im Fadenkreuz

Schon im Januar diesen Jahres trieb eine datenlöschende Malware namens WhisperGate ihr Unwesen in den Netzwerken mehrerer ukrainischer Organisationen.

All diese Kampagnen sind nur die jüngsten in einer langen Reihe von Angriffen, die in den letzten acht Jahren hochkarätige Ziele im Land getroffen haben. Wie von ESET-Forschern in einem kürzlich erschienenen Webinar und Podcast untersucht wurde, war die Ukraine seit 2014 Ziel einer Reihe äußerst zerstörerischer Cyberangriffe, einschließlich des NotPetya-Angriffs, der im Juni 2017 die Netzwerke einer Reihe ukrainischer Unternehmen kompromittierte, bevor sich die Malware über die Landesgrenzen hinaus ausbreitete.


ESET Research bietet ab sofort einen exklusiven APT-Intelligence-Report und Daten-Feed an. Bei Fragen zu diesem neuen Service oder zu auf WeLiveSecurity veröffentlichten Forschungsergebnissen, kontaktieren Sie uns bitte unter threatintel@eset.com.