ESET社が、ウクライナを標的とした未知のデータ消去マルウェアを発見したのは、この数週間で3度目になります。
本記事はESET Japanが提供する「ESETブログ」に掲載された「ウクライナを狙う3つ目の新たなワイパー型マルウェア「CaddyWiper」を発見」を再編集したものです。
ESETのアナリストが「CaddyWiper」と名付けたこのマルウェアは、月曜日の現地時間午前11時38分(UTC午前9時38分)に初めて検出されました。このワイパーは、接続されたドライブからユーザーデータやパーティション情報を破壊するもので、限られた組織の数十台のシステムで発見されました。ESET製品では、Win32/KillDisk.NCXとして検出されます。
CaddyWiper は、2 月 23 日以降、ウクライナの組織を襲ったほかの 2 つの新しいワイパーである HermeticWiper や IsaacWiperのコードと、大きな類似性は見られません。
しかし、HermeticWiperの場合と同様、その背後にいる悪意ある攻撃者を示唆する痕跡があります。
CaddyWiperは、ワイパーを放つ前に、標的のネットワークに侵入しています。
1週間ごとに1つのワイパーを発見
ESETの研究者がウクライナでこれまで知られていなかったデータ消去型マルウェアを発見したのは、この数週間で3度目となります。
ロシアによるウクライナ侵攻の前、ESETのテレメトリは、ウクライナの重要な組織のネットワークでHermeticWiperを検出しました。このキャンペーンでは、ローカルネットワーク内でHermeticWiperを拡散させるためのカスタムワームであるHermeticWizardと、おとりランサムウェアとして機能するHermeticRansomも使われていました。
翌日には、ウクライナ政府のネットワークに対する2回目の破壊的な攻撃が開始され、今度はIsaacWiperが展開されました。
ウクライナを狙った攻撃
今年1月には、WhisperGateと呼ばれる別のデータワイパーが、ウクライナの複数の組織のネットワークを席巻しました。
これらのキャンペーンは、過去8年間にわたりウクライナの重要な標的を襲った一連の攻撃の一部の最新のものです。ESETの研究者が最近のウェビナーやポッドキャストで解説していますが、ウクライナは、2017年6月に多数のウクライナ企業のネットワークを破壊した後、国境を越えて広がったNotPetya攻撃のような、極めて破壊的なサイバー攻撃を2014年以降多数受けています。