Die jüngste Analyse der Wiper-Malware, die Anfang dieses Monats auf Dutzende ukrainische Behörden abzielte, hat „strategische Ähnlichkeiten“ zu offenbart NotPetya-Malware das 2017 gegen die Infrastruktur des Landes und anderswo entfesselt wurde.
Die Malware, synchronisiert Flüstertor, wurde letzte Woche von Microsoft entdeckt, das sagte, es habe die zerstörerische Cyberkampagne beobachtet, die sich gegen staatliche, gemeinnützige und informationstechnologische Einrichtungen in der Nation richtete, und die Eindringlinge einem aufkommenden Bedrohungscluster mit dem Codenamen „DEV-0586“ zugeschrieben.
„Während WhisperGate einige strategische Ähnlichkeiten mit dem berüchtigten NotPetya-Wischer aufweist, der 2017 ukrainische Unternehmen angriff, einschließlich der Maskierung als Ransomware und der gezielten und zerstörten Master Boot Record (MBR), anstatt ihn zu verschlüsseln, verfügt es insbesondere über mehr Komponenten, die darauf ausgelegt sind, zusätzlichen Schaden zuzufügen. „Cisco Talos sagte in einem Bericht, in dem seine Reaktionsbemühungen detailliert beschrieben werden.
Das Cybersicherheitsunternehmen gab an, dass bei dem Angriff wahrscheinlich gestohlene Zugangsdaten verwendet wurden, und wies auch darauf hin, dass der Angreifer Monate im Voraus Zugriff auf einige der Opfernetzwerke hatte, bevor die Infiltrationen stattfanden, ein klassisches Zeichen für ausgeklügelte APT-Angriffe.
Die WhisperGate-Infektionskette ist als mehrstufiger Prozess gestaltet, der eine Payload herunterlädt, die den Master Boot Record löscht (MBR), lädt dann eine bösartige DLL-Datei herunter, die auf einem Discord-Server gehostet wird, die eine weitere Wiper-Nutzlast ablegt und ausführt, die Dateien unwiderruflich zerstört, indem sie ihren Inhalt mit festen Daten auf den infizierten Hosts überschreibt.
Die Ergebnisse kommen eine Woche nach etwa 80 Ukrainern Websites von Regierungsbehörden wurden unkenntlich gemacht, wobei die ukrainischen Geheimdienste bestätigten, dass die Zwillingsvorfälle Teil eines sind Welle böswilliger Aktivitäten Es zielte auf seine kritische Infrastruktur ab und stellte gleichzeitig fest, dass die Angriffe die kürzlich offengelegten Log4j-Schwachstellen nutzten, um Zugriff auf einige der kompromittierten Systeme zu erhalten.
„Russland nutzt das Land als Cyberwar-Testgelände – ein Labor zur Perfektionierung neuer Formen globaler Online-Kämpfe“, so Andy Greenberg von Wired bekannt 2017 ausführlich über die Angriffe, die Ende 2015 auf das Stromnetz abzielten und beispiellose Stromausfälle verursachten.
„Systeme in der Ukraine stehen vor Herausforderungen, die für Systeme in anderen Regionen der Welt möglicherweise nicht gelten, und es müssen zusätzliche Schutz- und Vorsichtsmaßnahmen angewendet werden“, sagten Talos-Forscher. „Es ist von größter Bedeutung sicherzustellen, dass diese Systeme sowohl gepatcht als auch gehärtet sind, um dazu beizutragen, die Bedrohungen, denen die Region ausgesetzt ist, zu mindern.“
Quelle: https://thehackernews.com/2022/01/experts-find-strategic-similarities-bw.html
