ESET ontdekt derde wipermalware in Oekraïne

Beveiligingsonderzoekers van ESET hebben een nieuwe wipermalware gevonden die zich op Oekraïense systemen richt. Het bedrijf noemt die CaddyWiper. De code zou niet overeenkomen met eerdere wipers, maar het bedrijf geeft verder weinig details over de werking ervan.

ESET zegt dat het de malware op maandagochtend ontdekte. Het gaat om een wipermalware. Die verwijdert gebruikers- en partitiedata van geïnfecteerde systemen. ESET zegt dat de malware toesloeg op enkele tientallen systemen van 'een beperkt aantal organisaties' in Oekraïne.

ESET geeft verder weinig details vrij over de malware. De onderzoekers zeggen dat de malware geen data vernietigt die op domain controllers staat. Waarschijnlijk is dat zo gepland, zodat de aanvallers de malware vanuit Active Directory verder kunnen verspreiden. ESET zegt dat daar ook aanwijzingen voor zijn. De malware zou al langere tijd in het netwerk van het bedrijf zitten.

ESET CaddyWiper

CaddyWiper is de derde soortgelijke malware die ESET in de afgelopen weken ontdekte in Oekraïne, een land waar ESET bovengemiddeld actief is. Op 23 februari, de dag voordat Rusland Oekraïne binnenviel, werd de eerste wipermalware ontdekt. Een week later ontdekte ESET een tweede soort. Het bedrijf doet bij de wipers niet aan attributie en wil geen mogelijke daders aanwijzen. Het is daarom niet met zekerheid te zeggen of de malware uit Rusland afkomstig is of verband heeft met de oorlog. De code van de malware toont volgens ESET geen gelijkenissen met de eerder ontdekte wipers. Wel ziet ESET overeenkomsten in hoe de aanvallers al langere tijd in het netwerk van de slachtoffers zaten.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 15-03-2022 11:40 41

15-03-2022 • 11:40

41

Lees meer

ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver
ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver Nieuws van 30 september 2022
Ontwikkelaar node-ipc voegt uit protest bug toe die Russische bestanden wist
Ontwikkelaar node-ipc voegt uit protest bug toe die Russische bestanden wist Nieuws van 18 maart 2022
ESET heeft tweede wiper-malware gevonden die Oekraïense systemen treft
ESET heeft tweede wiper-malware gevonden die Oekraïense systemen treft Nieuws van 1 maart 2022
Verschillende Russische overheidssites onbereikbaar na ddos-aanvallen
Verschillende Russische overheidssites onbereikbaar na ddos-aanvallen Nieuws van 25 februari 2022
ESET ontdekt wiper-malware die tegen honderden Oekraïense pc's wordt gebruikt
ESET ontdekt wiper-malware die tegen honderden Oekraïense pc's wordt gebruikt Nieuws van 24 februari 2022
Meer producten en artikelen
Beveiliging en antivirus ESET Malware Oorlog Oekraine

Reacties (41)

-Moderatie-faq
41
40
24
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
bartje 15 maart 2022 12:04
Is het opvallend dat Eset al deze 3 wipers ontdekt. Of heeft eset andere technieken voor detectie of is deze oververtegenwoordigd in Oekraïne? Ofzo?
AuteurTijsZonderH Nieuwscoördinator @bartje15 maart 2022 12:08
Dat is een combinatie van factoren. De eerste wiper werd (vermoed ik) bij toeval op een systeem van een klant gesignaleerd. Op basis daarvan wordt ESET alerter op dit soort specifieke aanvallen en herkennen ze die dus sneller. Ook speelt mee dat ESET erg populair is in Oekraïne, ze hebben daar veel klanten dus detecteren ze zulke dingen sneller. En daaropvolgend heeft ESET waarschijnlijk ook wat meer ervaring met destructieve malware, bijvoorbeeld door het onderzoek naar Industroyer, BlackEnergy en GreyEnergy.
Get!em @TijsZonderH15 maart 2022 14:18
En ik vermoed dat ze hun heuristics module er ook op aangepast hebben, die vervolgens weer nieuwe zaken ontdekt door samples op te sturen:
https://support.eset.com/en/kb127-what-are-heuristics
robertlinke @bartje15 maart 2022 13:29
volgens het artikel heeft ESET een groot klantenbestand in Oekraïne en is daarom ook de gene die dit ontdekt. zit verder niet veel vaags aan
Finger @bartje15 maart 2022 12:41
Zal ook meespelen dat Kaspersky hier vast geen uitspraken over kan doen op dit moment. Of zou dat alleen onderbuik gevoelens zijn?

[Reactie gewijzigd door Finger op 27 juli 2024 11:58]

Ge Someone @bartje15 maart 2022 15:32
Ze werden ontdekt toen ze actief werden. Dus niet "toevallig".
TheMaster004 15 maart 2022 11:55
Ik ben al een tijdje geen Windows gebruiker meer, maar de Pseudo-code wist C:/Users, laat de rest op de C schijf ongemoeid. Wist daarna alles op de D schijf, daarna E, F, G t/m Z ofzo.. volgens mij komt er na Z nog iets, want er wordt volgens mij precies 23 keer geincrement als ik het goed zie.

Hoe dan ook.. is het mogelijk om nog gebruik te maken van de letters A en B als schijfletters, volgens mij ben je dan veilig ;)
fretnn @TheMaster00415 maart 2022 12:03
en omdat we op tweakers zitten heb ik het eens omgezet in test code en er zit zoals je zegt een bugje in de pseudo code :D
[user@ceres ~]$ cat pseudo.c
#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[]) {

int i=0;
char drive_root[4];
strcpy(drive_root, "D:\\");

for (i=0; i<24; ++i) {
printf("drive_root: %s\n", drive_root);
++drive_root[0];
}

return 0;
}
[user@ceres ~]$ make pseudo
cc pseudo.c -o pseudo
[user@ceres ~]$ ./pseudo
drive_root: D:\
drive_root: E:\
drive_root: F:\
drive_root: G:\
drive_root: H:\
drive_root: I:\
drive_root: J:\
drive_root: K:\
drive_root: L:\
drive_root: M:\
drive_root: N:\
drive_root: O:\
drive_root: P:\
drive_root: Q:\
drive_root: R:\
drive_root: S:\
drive_root: T:\
drive_root: U:\
drive_root: V:\
drive_root: W:\
drive_root: X:\
drive_root: Y:\
drive_root: Z:\
drive_root: [:\
[user@ceres ~]$

[Reactie gewijzigd door fretnn op 27 juli 2024 11:58]

TheMaster004 @fretnn15 maart 2022 12:06
Precies die "[", had net even in de asci tabel gekeken wat er na hoofdletter Z komt, bedankt voor het uitzoekwerk! Windows kenners, is een "[" schijfletter mogelijk?
Cowamundo @TheMaster00415 maart 2022 12:20
Wat ik kan terug vinden is dat in ouder Windows versies 32 schijfletters mogelijk waren zoals [: en `:
Maar dat dit bij modernere versies niet meer werkt en de max 26 is waarbij A: en B: gereserveerd zijn.
A en B zijn tegenwoordig ook gewoon mogelijk om te gebruiken maar worden niet als eerste automatisch gebruikt.

Als je meer dan 26 drives wil gebruiken moet je verder met bijvoorbeeld Volume Mounting.

[Reactie gewijzigd door Cowamundo op 27 juli 2024 11:58]

rickboy333 @Cowamundo15 maart 2022 13:14
Ik ben geen IT'er, dus ik kan dit niet met zekerheid zeggen. Maar B: wel eens aangewezen om aan te geven dat het om een backupschijf gaat. Dit zal je wel met de hand moeten doen, want windows doet dit niet automatisch. B: word sowieso niet standaard gebruikt in Windows. Windows 10 (en volgensmij 7 al) kan geen tweede floppy drive (dus B:) herkennen (USB of IDE floppydrives niet meegerekend).

[Reactie gewijzigd door rickboy333 op 27 juli 2024 11:58]

CH4OS @rickboy33315 maart 2022 19:39
Vroeger was de B-schijf de tweede floppy drive.
fretnn @Cowamundo15 maart 2022 13:08
interessant dat '[' ook mogelijk was als schijfletter
IrBaboon79 @TheMaster00415 maart 2022 22:54
Ja hoor, dat kan - vroeger (novell netware tijd) kon je zo drives mappen, tot 32 stuks zelfs, als de andere letters op waren… de exacte toegestane karakters weer ik even niet meer maar ik dacht dat []^\_ toegestaan waren…geen trek om het te googlen :)

Voor de recentere IT’ers hieronder: A en B waren vroeger gereserveerd voor floppy disks, de 1e HDD was C:\… CD-ROM drives kwamen meestal op D uit want dat was meestal de volgende die vrij was.
Je kon onder DOS ook leuker trucjes uithalen met subst en assign… afijn, nostalgie :)

[Reactie gewijzigd door IrBaboon79 op 27 juli 2024 11:58]

Duckman51 @TheMaster00415 maart 2022 12:01
Ik ben ook al een tijd geen Windows gebruiker meer maar volgens mij zijn schijfletters A en B gereserveerd voor floppy drives. Die kun je dus niet toewijzen aan bijvoorbeeld een harddisk of ssd
DrPoncho @Duckman5115 maart 2022 12:14
Die kan je prima overal aan toewijzen, niet alleen floppy drives.
Duckman51 @DrPoncho15 maart 2022 12:18
Mm oke, mogelijk dat dat nu veranderd is, 20 jaar geleden kon dat in ieder geval niet.
Als dat nu wel kan dan hebben ze bij Microsoft toch nog wat geleerd haha
rbr320 @Duckman5115 maart 2022 12:49
Zeker wel, ik had in het Windows 2000 tijdperk 2 Samba shares gekoppeld aan drives A: en B: en dat is zeker 20 jaar geleden. Maar misschien dat voor netwerkschijven nog andere regels gelden.
himlims_ 15 maart 2022 11:46
'hoe' richt zo iets zich specifiek tegen oekraiense machines?
d5stick @himlims_15 maart 2022 11:50
IP adressen maar ook naar de taal settings van de machine. Er zijn ook al ransomware varianten geweest die o.a. Russische computers buitensloot door middel van een keyboard en geïnstalleerde taal check.
kakanox @d5stick15 maart 2022 13:41
Lol, nooit over nagedacht dat het geïnstalleerd hebben van de Russische taal en toetsenbordinstellingen ooit nog mijn redding zou kunnen gaan zijn :+
SilverRST @kakanox15 maart 2022 15:08
GTA mods gemaakt door Russen, Oekraïners, Chinezen en wellicht nog meer andere talen met van die rare tekens leveren vaak de readme bestandjes hoe je die mods kunt installeren. De kans is er dat jij die talen juist niet in hun correcte tekens ziet omdat die talen niet ondersteunt zijn door kladblok bijvoorbeeld.
Ienni1983 @himlims_15 maart 2022 11:47
mogelijk richt het op Ukraine gebaseerde ip adressen.
SunnieNL @himlims_15 maart 2022 11:51
tijdzone, taalinstellingen, regio instellingen (munt eenheid), ip adressen, bepaalde software die in oekraine veel gebruikt wordt.
Meerdere mogelijkheden voor.
CH4OS @SunnieNL15 maart 2022 19:46
Tijdzone is iets te algemeen, ik denk niet dat tijdzone daarvoor gebruikt wordt om potentiele slachtoffers mee te targetten. Ukraine zit in de EET (East European Time), waaronder ook landen als Polen, Bulgarije en Roemenië vallen, waar (zeker de laatste) toch echt een andere taal heeft. Roemeens is meer een Latijnse taal dan Cyrillisch. :+
rubentjuuuhh @himlims_15 maart 2022 11:52
Dat kan een combinatie van verschillende eigenschappen zijn. Bijv. IP adres, taalinstellingen, toetsenbord indeling, locale etc.
Verwijderd @himlims_15 maart 2022 11:57
Wellicht een foutje in de ondertitel van het persbericht van eset; in het bericht zelf spreekt men van malware gericht op systemen in Oekraïne, niet zozeer malware die zichzelf op die systemen richt:
Much like with HermeticWiper, however, there’s evidence to suggest that the bad actors behind CaddyWiper infiltrated the target’s network before unleashing the wiper.
Bron: https://www.welivesecurit...lware-discovered-ukraine/

[Reactie gewijzigd door Verwijderd op 27 juli 2024 11:58]

dutchgio @himlims_15 maart 2022 12:02
ESET detecteert het (alleen) bij Oekrainese bedrijven.
De aanvallers vallen alleen die bedrijven aan en zijn al binnen voor ze de wiper malware activeren.
Arunia 15 maart 2022 11:50
Het kan puur toevallig zijn, maar iets zegt me dat dit niet zo is. Rusland is natuurlijk al langere tijd bezig met het plannen omtrent de inval van de Oekraïne. Als die malware al weken in het netwerk zit, kan dat onderdeel van die plannen zijn.
Maar goed, zeker weten doe je dat op dit moment natuurlijk niet.

Vind het wel stoer dat mijn vroegere buurjongetje :+ (ben zelf ondertussen 41 jaar) al enige tijd directeur is van ESET. ^_^
MrMonkE @Arunia15 maart 2022 12:06
Niet alleen dat. Ze waren daarvoor een decennia bezig hun man in het zadel te krijgen. Plan-A.
Dat was een groot succes tot hij direct door een groot protest werd gewipt en Rusland is nu bezig met Plan-C. Of D. In die hele periode zullen de Russische hackers ook hun werk gedaan hebben. Wellicht met meer spionage dan sabotage as doel destijds.
ELD @MrMonkE15 maart 2022 12:38
Gaat niet zo goed met plan C of D, de Russische economie staat op instorten.
MrMonkE @ELD15 maart 2022 12:47
Nee, wanneer je dieper in het alfabet zit met je plannen is dat meestal geen goed teken. :+

(Er staan Z en V's op de voertuigen.. misschien is het wel plan-Z en plan-V)

[Reactie gewijzigd door MrMonkE op 27 juli 2024 11:58]

kakanox @MrMonkE15 maart 2022 13:44
Als het de Russische V betreft; dat is de derde letter van het alfabet ;)
CH4OS @MrMonkE15 maart 2022 19:49
Plan-V zijn de ouderwetse stoptreinen van de NS: zie bijvoorbeeld Google https://google.com/images?q=Plan-V

EDIT:
En Plan-Z lijkt de Koploper te zijn: https://google.com/images?q=Plan-Z

:+

[Reactie gewijzigd door CH4OS op 27 juli 2024 11:58]

vinx77 15 maart 2022 12:48
Het bedrijf doet bij de wipers niet aan attributie en wil geen mogelijke daders aanwijzen.
Dit vind ik ontzettend professioneel! Het politieke spelletje wat sommige andere bedrijven spelen, vind ik een reden geen producten en services van die bedrijven te kopen.
Verwijderd 15 maart 2022 19:30
Goh, wie heeft er nou belang bij zoiets. Losgeld eisen kan natuurlijk niet wat er valt niets terug te krijgen. Puur destructief dus. Tja, wie zou dat nu kunnen zijn?
klaaz 15 maart 2022 22:28
Ik zou het wel sympathiek vinden als AV fabrikanten hun diensten (Gedurende de oorlog) gratis zouden aanbieden aan inwoners van de Oekraine, om ze daarmee tegen Russische hackers te beschermen. Voornamelijk omdat deze openlijk aangeven deze tactieken te gebruiken en ook openlijk aangeven ze zelfs te willen legaliseren.

En nee, ik suggereer hier mee niet dat de Russen ook verantwoordelijk zijn voor de wipermalware in dit artikel.
Aardedraadje @x86dev15 maart 2022 12:06
Nee, hij is juist anderen voor die de link zouden leggen, als hij dat niet bij voorbaat had ontkracht of in ieder geval genuanceerd.
Sundown89 @x86dev15 maart 2022 11:56
Waar legt Tijs de link met Rusland?
pietje63 @x86dev15 maart 2022 12:46
Omdat de gemiddelde lezer zich dit zal afvragen. In het artikel staat dat hij het antwoord op deze vraagt niet heeft.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq