Détecter CaddyWiper : un autre destructeur de données pour attaquer les réseaux ukrainiens

[post-views]
mars 16, 2022 · 4 min de lecture
Détecter CaddyWiper : un autre destructeur de données pour attaquer les réseaux ukrainiens

Le cyberespace est une autre frontière dans la guerre Russie-Ukraine. Les cyberattaques à grande échelle soutenues par la Russie accompagnent l’agression militaire contre l’Ukraine, visant à mettre hors ligne des éléments clés de l’infrastructure ukrainienne. Le nouveau malware CaddyWiper s’ajoute à une série de menaces cybernétiques précédemment révélées – HermeticWiper HermeticWiper, WhisperGate, et IsaacWiper. Le nouveau malware effaceur de données ne ressemble pas à d’autres familles de logiciels malveillants.

Détection de CaddyWiper

Pour détecter ce malware effaceur de données, utilisez la règle basée sur Sigma fournie par notre chasseur de menaces expérimenté Osman Demir:

CaddyWiper – Nouveau malware effaceur destructeur en Ukraine (via file_event)

Pour accéder à cette détection basée sur Sigma, connectez-vous à votre compte actuel ou inscrivez-vous sur la plateforme. 

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, et Open Distro.

La règle est alignée avec la dernière MITRE ATT&CK® version 10, abordant la tactique d’Impact avec le nettoyage de disque (T1561) comme technique principale et le sous-technique Disque Content Wipe (T1561.001).

Outre la détection Sigma ci-dessus, vous pouvez tirer parti de la règle YARA de notre développeur Threat Bounty de premier plan Antonio Farina:

CaddyWiper

Pour détecter d’autres vulnérabilités, consultez le liste complète des règles disponible dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime. Vous créez votre propre contenu ? Joignez-vous avec la plus grande communauté de défense cybernétique au monde alimentée par le programme Threat Bounty, et gagnez un revenu stable en partageant votre contenu de détection.

Voir les détections Rejoindre Threat Bounty

Analyse de CaddyWiper

Depuis le début de l’agression russe en 2022, une vague de cyberattaques débilitantes a frappé l’Ukraine visant à paralyser son infrastructure numérique et à saper la stabilité du pays. Le 14 mars, les chercheurs d’ESET ont signalé un nouveau malware de type effaceur de données, surnommé CaddyWiper. Il a été conçu pour détruire les données et les informations de partition des disques attachés.

Selon les données actuelles, les adversaires ont réussi jusqu’à dix piratages d’organisations ukrainiennes, armés de cette souche de malware effaçant les données. Les cas de déploiement de CaddyWiper montrent une similitude tactique que CaddyWiper et HermeticWiper partagent : CaddyWiper a infiltré les systèmes ciblés via les contrôleurs de domaine Windows. Ainsi, nous savons que les adversaires contrôlaient le serveur Active Directory de manière similaire aux attaques récentes de HermeticWiper. CaddyWiper évite de détruire les données sur les contrôleurs de domaine, permettant aux pirates derrière l’attaque de persister et de perturber les opérations. Un autre détail l’échantillon découvert n’était pas signé numériquement mais compilé.

En ces temps turbulents, on ne peut sous-estimer l’importance des pratiques de cybersécurité efficaces. Soutenu par la défense cybernétique collaborative, SOC Prime organise plus de 2 000 détections basées sur Sigma pour se défendre contre les menaces cybernétiques soutenues par la Russie avec toutes les règles désormais disponibles pour chasser gratuitement en utilisant le module Quick Hunt. Connectez-vous à la plateforme SOC Prime et approfondissez pour rechercher les menaces liées avec Quick Hunt :
Contenu de chasse gratuit contre les menaces d’origine russe

Joindre la plateforme Detection as Code de SOC Prime pour booster vos capacités de détection des menaces avec la puissance des leaders du secteur. Cherchez des moyens de contribuer votre propre contenu de détection et de conduire la défense cybernétique collaborative ? Joignez-vous à l’initiative de crowdsourcing de SOC Prime pour partager vos règles Sigma avec la communauté, contribuer à un cyberespace plus sûr, et recevoir des récompenses récurrentes pour votre précieuse contribution !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko