Rileva CaddyWiper: Un Altro Distruttivo Cancella-Dati per Attaccare le Reti Ucraine

[post-views]
Marzo 16, 2022 · 4 min di lettura
Rileva CaddyWiper: Un Altro Distruttivo Cancella-Dati per Attaccare le Reti Ucraine

Il cyberspazio è un altro fronte della guerra Russia-Ucraina. Gli attacchi cibernetici su larga scala appoggiati dalla Russia accompagnano l’aggressione militare contro l’Ucraina, con l’obiettivo di portare offline elementi chiave dell’infrastruttura ucraina. Il malware CaddyWiper appena individuato si aggiunge a una serie di minacce cibernetiche precedentemente rivelate: HermeticWiper, WhisperGatee IsaacWiper. Il nuovo malware di cancellazione dati non somiglia ad altre famiglie di malware.

Rilevamento di CaddyWiper

Per rilevare questo malware di cancellazione dati, utilizza la seguente regola basata su Sigma fornita dal nostro abile threat hunter Osman Demir:

CaddyWiper – Nuovo Malware di Cancellazione Distruttiva in Ucraina (via file_event)

Per accedere a questo rilevamento basato su Sigma, accedi al tuo account attuale o iscriviti alla piattaforma.

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP e Open Distro.

La regola è allineata con l’ultima struttura MITRE ATT&CK® v.10, affrontando la tattica di Impatto con Disco Wipe (T1561) come tecnica principale e la sotto-tecnica Cancellazione del Contenuto del Disco (T1561.001).

Oltre al rilevamento Sigma sopra, puoi sfruttare la regola YARA dal nostro sviluppatore di Threat Bounty di alto livello Antonio Farina:

CaddyWiper

Per rilevare altre vulnerabilità, vedi l’ elenco completo delle regole disponibile nel repository del Threat Detection Marketplace della piattaforma SOC Prime. Stai creando il tuo contenuto? Unisci le forze con la più grande comunità di cyber difesa al mondo potenziata dal programma Threat Bounty, e guadagna un reddito stabile condividendo il tuo contenuto di rilevamento.

Visualizza Rilevamenti Unisciti a Threat Bounty

Analisi di CaddyWiper

Dal principio dell’aggressione russa nel 2022, un’ondata di attacchi cibernetici debilitanti ha colpito l’Ucraina, mirati a devastare la sua infrastruttura digitale e minare la stabilità del paese. Il 14 marzo, i ricercatori di ESET hanno segnalato un nuovo malware di cancellazione dati, chiamato CaddyWiper. È stato progettato per distruggere dati e informazioni sulle partizioni dai drive allegati.

Secondo i dati attuali, gli avversari hanno avuto successo con fino a dieci intrusioni in organizzazioni ucraine, armati con questa variante di malware di cancellazione dati. I casi di distribuzione di CaddyWiper mostrano una somiglianza tattica che CaddyWiper e HermeticWiper condividono: CaddyWiper ha infiltrato i sistemi mirati attraverso i controller di dominio Windows. Pertanto sappiamo che gli avversari controllavano il server Active Directory in modo simile agli attacchi recenti di HermeticWiper. La distribuzione di CaddyWiper evita di cancellare dati sui controller di dominio, consentendo agli hacker dietro l’attacco di persistere e disturbare le operazioni. Un altro dettaglio — il campione scoperto non era firmato digitalmente ma compilato.

In questi tempi turbolenti, non si può sottovalutare l’importanza di pratiche di cybersecurity efficienti. Supportato dalla difesa cibernetica collaborativa, SOC Prime cura oltre 2.000 rilevamenti basati su Sigma per difendersi dalle minacce cibernetiche supportate dalla Russia con tutte le regole ora disponibili per una caccia gratuita usando il modulo Quick Hunt. Accedi alla piattaforma SOC Prime e approfondisci per cercare minacce correlate con Quick Hunt:
Contenuto di caccia gratuito contro le minacce di origine russa

Unisciti alla piattaforma Detection as Code di SOC Prime per potenziare le tue capacità di rilevamento delle minacce con il supporto dei leader del settore. Stai cercando modi per contribuire con il tuo contenuto di rilevamento e guidare la difesa cibernetica collaborativa? Unisci le forze con l’iniziativa di crowdsourcing di SOC Prime per condividere le tue regole Sigma con la comunità, contribuisci a un cyberspazio più sicuro e ricevi ricompense ricorrenti per il tuo prezioso contributo!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko