ESETが運営するセキュリティ情報サイト「WeLiveSecurity」は3月15日(米国時間)、「CaddyWiper: New wiper malware discovered in Ukraine」において、ウクライナの組織を狙う新種のマルウェアを発見したと伝えた。「CaddyWiper」と呼ばれるこのマルウェアは、感染に成功すると被害者のPCのドライブからユーザーデータとパーティション情報を消去して利用不能にするという。

CaddyWiperは現地の3月14日午前11時38分(UTC 午前9時38分)に最初に検出され、ごく限られた組織の数十のシステムが侵害されたことを確認しているとのこと。ESET製品では「Win32/KillDisk.NCX」として検出される。

ESETによれば、ウクライナの組織をターゲットとしたデータを消去する新種のマルウェアはこれで3つ目になるという。1つ目はロシアがウクライナへの侵攻を開始する前夜に発見された「HermeticWiper」で、この際にはローカルネットワーク内でHermeticWiperの感染を広げるワームの「HermeticWizard」や、おとりのランサムウェアである「HermeticRansom」も同時に用いられたとのこと。そして侵攻が開始された翌日、2度目のサイバー攻撃では「IsaacWiper」と呼ばれるマルウェアが展開された。

  • CHermeticWiperとIsaacWiperに関するインシデントのタイムライン

    CHermeticWiperとIsaacWiperに関するインシデントのタイムライン

CaddyWiperのコードは、HermeticWiperやIsaacWiperとは類似性は見られないが、HermeticWiperのケースと同様にGPO(Group Policy Object)を介して展開されていることが確認されたという。これは、攻撃者が事前にターゲットのネットワークを制御していたことを意味している。

ESETのTwitter公式アカウントでは、CaddyWiperの関する分析の結果やIoC(侵入の痕跡)なども伝えられている。

  • CaddyWiperについて伝えたESET公式アカウントのツイート

    CaddyWiperについて伝えたESET公式アカウントのツイート

ESETでは、これらのキャンペーンは、2014年から続いているウクライナに対する一連のサイバー攻撃の一部でしかないと指摘している。特にロシアとウクライナの緊張状態が高まった2021年後半からは、ウクライナの政府や研究機関に対する大規模なサイバー攻撃が相次いで報告されていた。