Cybersecurity-onderzoekers die destructieve malware-aanvallen voor het wissen van gegevens in Oekraïne volgen, vinden tekenen van nieuwe malware met wormverspreidingscapaciteiten en wat lijkt op een rudimentair ransomware-lokmiddel.
Volgens nieuw onderzoek van het Slowaakse anti-malwarebedrijf ESET begonnen de cyberaanvallen uren voor de Russische invasie van Oekraïne op 24 februari met DDoS-aanvallen op Oekraïense overheidswebsites en veranderden ze snel in wiper-aanvallen gericht op het vernietigen van gegevens op computernetwerken.
In totaal ontdekte ESET dat de eerste aanvallen gebruik maakten van drie componenten:
• Hermetische Wiper maakt een systeem onbruikbaar door de gegevens te beschadigen
• Hermetische Wizard verspreidt de gegevenswisser als een computerworm over een lokaal netwerk via WMI en SMB
• Hermetisch Losgeld voegt een data-afpersing ransomware-component toe die is geschreven in Go
Een dag later zei ESET dat zijn technologie weer een nieuwe wisser in een Oekraïens overheidsnetwerk heeft onderschept.
[ LEES: Destructieve 'HermeticWiper'-malware treft computers in Oekraïne ]
“We noemden het IsaacWiper en we beoordelen momenteel de eventuele banden met HermeticWiper. Het is belangrijk op te merken dat het werd gezien in een organisatie die niet werd beïnvloed door HermeticWiper, "zei ESET in openbare documentatie.
Het bedrijf zei dat het geen tastbare connectie heeft gevonden met een bekende dreigingsactor, maar merkt op dat de wiper- en wormverspreidende componenten zijn ondertekend door een code-ondertekeningscertificaat dat is toegewezen aan Hermetic Digital.
De ESET-onderzoekers zijn er zeker van dat de geïnfecteerde organisaties gecompromitteerd zijn ruim voor de inzet van de gegevenswisser en zeiden dat er bewijs is dat het oudst bekende IsaacWiper-monster in oktober 2021 is samengesteld.
De initiële toegangsvector voor de gegevenswisser is momenteel onbekend, maar de dreigingsjagers van ESET hebben tekenen gevonden van zijwaartse beweging binnen gerichte organisaties. "In één entiteit werd de wiper ingezet via het standaarddomeinbeleid (GPO)", zei het bedrijf.
[ LEES: Microsoft: cyberaanvallen in Oekraïne raken civiele digitale doelen ]
Naast ESET hebben meerdere leveranciers van bedrijfsbeveiliging verschillende aspecten van de digitale cyberaanvallen in Oekraïne gedocumenteerd met: Microsoft waarschuwt voor civiele digitale doelen en Symantec bevestigen de aanvallen voor het wissen van schijven voorafgegaan de Russische invasie.
Onderzoekers van Kaspersky's Global Research and Analysis Team (GReAT) beschrijven de HermeticRansom-gegevenscoderingscomponent als een "rookgordijn" en bevestigden dat het werd gebruikt om activa te targeten op dezelfde dag als de HermeticWiper-malware.
"Gezien de omstandigheden waaronder HermeticRansom verscheen, inclusief de datum, tijd en geolocaties van de slachtoffers, hebben we matig vertrouwen dat het verband houdt met de algemene doelstellingen van HermeticWiper - het vernietigen of anderszins onbruikbaar maken van Windows-systemen vanwege gegevensverlies", Kaspersky zei:.
“[Dit is een] uitstekend voorbeeld van een gerichte aanval die voorkomt dat slachtoffers hun gegevens gebruiken, terwijl ze mogelijk ook als rookgordijn voor verdere aanvallen fungeren. De eenvoud van de code, samen met de grammatica- en spelfouten in het losgeldbriefje, duiden er waarschijnlijk op dat het een last-minute operatie was, mogelijk ingezet om de effectiviteit van andere cyberaanvallen op Oekraïne te vergroten”, voegde Kaspersky eraan toe.
Het cyberbeveiligingsagentschap van de Amerikaanse regering CISA heeft indicatoren van compromis vrijgegeven om bedreigingsjagers te helpen bij het zoeken naar tekenen van de gegevenswissende bedreigingen in computernetwerken.
Zie ook: Rusland vs Oekraïne - De oorlog in cyberspace
Zie ook: Microsoft: cyberaanvallen in Oekraïne raken civiele digitale doelen
Zie ook: CISA, FBI geven waarschuwingen uit over WhisperGate, HermeticWiper-aanvallen
Zie ook: Microsoft, Symantec delen opmerkingen over Russische hacks die Oekraïne raken
Zie ook: Ransomware gebruikt als lokaas bij vernietigende cyberaanvallen in Oekraïne