💥 consumerWiper: разрушительный вайпер обнаружен CRATU в реальных инцидентах 🛰️ Подразделение CRATU зафиксировало consumerWiper — вайпер, распространяемый в виде MSI-пакета и состоящий из нескольких функциональных компонентов. Во время расследования инцидента команда обнаружила этот разрушительный malware, цель которого — уничтожение данных на заражённых системах. Распространяется как установочный пакет MSI. Публичный разбор одного из R&D центра показывает, что пакет содержит несколько компонентов, а выполнение цепочки включает создание scheduled task от имени SYSTEM для запуска control32.exe. После этого вредоносные компоненты могут отключать сетевые интерфейсы, выводить ложный экран ошибки и перезаписывать пользовательские файлы. Важно: в опубликованном разборе указано, что consumerWiper не просто удаляет файлы, а перезаписывает их содержимое, при этом пропуская системные каталоги Windows и Program Files. Это означает, что ключевой акцент в детектировании нужно делать на разрушительных действиях по отношению к пользовательским данным и на аномальной цепочке MSI → schtasks → control32.exe / consume32.exe / disconnect32.exe. Твои IOC (SHA256): 7A00F5219F61850B5999BDE9669094AC8932971E15978D11962E42AF964C096C 89E0F599AFA7705DF55BF345C41236E70EFA813C7E82CAEE4171DCE678010B66 E4DFCF17AAB37F01B0D24010CAB1875F28EE545A9D330C85DE1A21EC682E840F 8554F4062D3FC3DD8EFEDA65B8620CE74D98B125627D5BE72BCA7B0930EDF737 5CFCE12D2C8687EBA1529EC82F93B85FF2B503959D19D82E9873C0C473CAEBE1 BA2D428D5B4E0EE1CC4A952FEC254DE453D8514E546F64919ABD13C0BBC59473 🎯 MITRE ATT&CK: 🔤T1485 — Data Destruction 🔤T1218.007 — System Binary Proxy Execution: Msiexec 🔤T1053.005 — Scheduled Task 🛡 Как детектить: 📥 Запуск msiexec.exe с подозрительным .msi из Temp / Downloads / AppData ⚙️ Создание scheduled task с запуском control32.exe от имени SYSTEM 🧩 Появление компонентов consume32.exe, disconnect32.exe, disconnect64.exe, fullscreen32.exe 💾 Массовая перезапись или уничтожение пользовательских файлов вне Windows / Program Files 🧠 Совпадение по хэшам из IOC Поведенческое условие: Если в течение 60 секунд после запуска msiexec.exe из пользовательского каталога создаётся scheduled task от имени SYSTEM и далее появляются control32.exe / consume32.exe / disconnect32.exe или начинается массовая перезапись пользовательских файлов — инцидент высокого приоритета.