CaddyWiper: ecco l'analisi del malware

Il 1 marzo 2022, ESET ha segnalato una terza variante distruttiva del wiper dati utilizzata negli attacchi contro organizzazioni ucraine soprannominate CaddyWiper.

Il metodo di distruzione di CaddyWiper consiste nel sovrascrivere i dati del file con valori "NULL".

Questo è il quarto campione di malware IBM Security X-Force. I dati mostrano i contenuti pubblici per i quali sarebbero stati presi di mira sistemi appartenenti a organizzazioni ucraine (IsaacWiper, HermeticWiper/PartyTicket).

IBM Security X-Force ha ottenuto un campione del wiper CaddyWiper e ha fornito la seguente analisi tecnica, indicatori di compromissione e rilevamenti.

Analisi CaddyWiper

Al momento dell'esecuzione, CaddyWiper esegue prima "DsRoleGetPrimaryDomainInformation" per determinare il ruolo macchina del sistema su cui è in esecuzione il wiper. Se il ruolo di dominio è "DsRole_RolePrimaryDomainController", CaddyWiper termina e non continua con alcuna funzione distruttiva.

ESET, osserva che CaddyWiper si distribuisce sui sistemi di destinazione tramite un controller di dominio, indicando che gli autori hanno progettato il malware wiper per essere utilizzato in situazioni in cui l'ambiente Active Directory del target è stato compromesso.

Se il sistema di destinazione non è un controller di dominio, CaddyWiper inizia a cancellare in modo ricorsivo tutti i dati all'interno di "%SystemDrive%\Users", inclusi i file nascosti e del sistema operativo. Nel caso in cui un file sia più grande di 10 megabyte, il wiper distrugge i primi 40960 byte. Se un file è attualmente bloccato da un altro processo, CaddyWiper tenta prima di assumere la proprietà del file tramite "SeTakeOwnershipPrivilege" e quindi riprende a cancellare il file.

Dopo "%SystemDrive%\Users", il wiper ripete la stessa procedura per tutte le unità disponibili da "D:\" a "Z:\". Quando tutte le unità disponibili sono cancellate, CaddyWiper target cancella le partizioni del disco da "\\.\PHYSICALDRIVE9" a "\\.\PHYSICALDRIVE0" sovrascrivendo i primi 1920 byte con NULL.

Raccomandazioni

Al momento, X-Force consiglia alle organizzazioni di considerare l'implementazione degli indicatori elencati in questo rapporto nelle loro operazioni di sicurezza.

Inoltre, le aziende globali dovrebbero cercare di stabilire solide informazioni. Questo sulle rispettive reti, catene di approvvigionamento, terze parti e partnership che hanno sede o servono istituzioni nella regione. Si consiglia inoltre alle organizzazioni di aprire linee di comunicazione tra le entità di condivisione delle informazioni pertinenti per garantire la ricezione e lo scambio di indicatori attuabili.