CaddyWiper erkennen: Ein weiterer zerstörerischer Daten-Wiper, um ukrainische Netzwerke anzugreifen

[post-views]
März 16, 2022 · 3 min zu lesen
CaddyWiper erkennen: Ein weiterer zerstörerischer Daten-Wiper, um ukrainische Netzwerke anzugreifen

Der Cyberspace ist eine weitere Front im Krieg zwischen Russland und der Ukraine. Von Russland unterstützte groß angelegte Cyber-Angriffe begleiten die militärische Aggression gegen die Ukraine und zielen darauf ab, wichtige Teile der ukrainischen Infrastruktur offline zu bringen. Die neu entdeckte CaddyWiper-Malware fügt sich in eine Reihe zuvor enthüllter Bedrohungen ein – HermeticWiper, WhisperGate, und IsaacWiper. Die neuartige Datenlösch-Malware ähnelt keiner anderen Malware-Familie.

CaddyWiper-Erkennung

Um diese Datenlösch-Malware zu erkennen, verwenden Sie die folgende Sigma-basierte Regel, die von unserem erfahrenen Bedrohungsjäger Osman Demir:

CaddyWiper – Neue zerstörerische Löschmalware in der Ukraine (über file_event)

Um diese Sigma-basierte Erkennung zu erreichen, melden Sie sich bei Ihrem aktuellen Konto an oder registrieren Sie sich auf der Plattform.

Diese Erkennung bietet Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, und Open Distro.

Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt und behandelt die Taktik ‚Auswirkungen‘ mit Löschen von Festplatten (T1561) als Haupttechnik und dem Teilverfahren ‚Festplatteninhalt löschen‘ (T1561.001).

Abgesehen von der oben genannten Sigma-Erkennung können Sie die YARA-Regel von unserem erstklassigen Threat Bounty-Entwickler nutzen Antonio Farina:

CaddyWiper

Um andere Schwachstellen zu erkennen, sehen Sie sich die vollständige Liste der Regeln im Threat Detection Marketplace-Repository der SOC Prime-Plattform an. Erstellen Sie eigene Inhalte? Schließen Sie sich der weltweit größten Cyberverteidigungsgemeinschaft an, die vom Threat Bounty-Programm unterstützt wird, und verdienen Sie ein stabiles Einkommen durch das Teilen Ihrer Erkennungsinhalte.

Detektionen anzeigen Threat Bounty beitreten

CaddyWiper-Analyse

Seit Beginn der russischen Aggression im Jahr 2022 hat eine Welle von lähmenden Cyber-Angriffen die Ukraine getroffen, die darauf abzielt, ihre digitale Infrastruktur zu schädigen und die Stabilität des Landes zu untergraben. Am 14. März berichteten ESET-Forscher über eine neuartige Datenlösch-Malware namens CaddyWiper. Sie wurde entwickelt, um Daten und Partitionsinformationen von angeschlossenen Laufwerken zu zerstören.

Laut den aktuellen Daten haben die Gegner es mit bis zu zehn Hacks ukrainischer Organisationen geschafft, bewaffnet mit dieser Datenlösch-Malware. Die Fälle der CaddyWiper-Implementierung zeigen eine taktische Ähnlichkeit, die CaddyWiper und HermeticWiper teilen: CaddyWiper infiltrierte Zielsysteme durch Windows-Domänencontroller. Daher wissen wir, dass die Gegner den Active Directory-Server ähnlich wie bei den jüngsten HermeticWiper-Angriffen kontrollierten. CaddyWiper wird so eingesetzt, dass es Daten auf Domänencontrollern nicht löscht, während die Angreifer weiterhin operieren und Betriebsabläufe stören können. Ein weiteres Detail das entdeckte Muster war nicht digital signiert, sondern kompiliert.

In diesen turbulenten Zeiten kann man die Bedeutung effizienter Cybersicherheitspraktiken nicht unterschätzen. Unterstützt durch die kollaborative Cyberabwehr kuratiert SOC Prime über 2.000 Sigma-basierte Erkennungen, um sich gegen von Russland unterstützte Cyber-Bedrohungen zu verteidigen, wobei alle Regeln jetzt zur freien Jagd mit dem Quick Hunt-Modul zur Verfügung stehen. Melden Sie sich bei der SOC Prime-Plattform an und suchen Sie mit Quick Hunt nach verwandten Bedrohungen:
Kostenlose Jagdinhalte gegen von Russland ausgehende Bedrohungen

Beitreten zur SOC Prime’s Detection as Code-Plattform um Ihre Bedrohungserkennungsfähigkeiten mit der Stärke der Branchenführer zu verbessern. Möchten Sie Ihre eigenen Erkennungsinhalte beitragen und die kollaborative Cyber-Abwehr vorantreiben? Schließen Sie sich SOC Primes Crowdsourcing-Initiative an, um Ihre Sigma-Regeln mit der Community zu teilen, zu einem sichereren Cyberspace beizutragen und wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko