Zephyrnet-logo

Experts vinden strategische overeenkomsten tussen aanvallen van NotPetya en WhisperGate op Oekraïne

Datum:

NotPetya en WhisperGate

De laatste analyse van de wiper-malware die eerder deze maand op tientallen Oekraïense agentschappen was gericht, heeft "strategische overeenkomsten" met: NotPetya-malware die in 2017 werd losgelaten op de infrastructuur van het land en elders.

De malware, genaamd fluisterpoort, werd vorige week ontdekt door Microsoft, dat zei dat het de destructieve cybercampagne observeerde die gericht was op overheids-, non-profit- en informatietechnologie-entiteiten in het land, waarbij de inbreuken werden toegeschreven aan een opkomend dreigingscluster met de codenaam "DEV-0586".

Automatische GitHub-back-ups

“Hoewel WhisperGate enkele strategische overeenkomsten heeft met de beruchte NotPetya-wisser die Oekraïense entiteiten aanviel in 2017, waaronder het zich voordoen als ransomware en het targeten en vernietigen van het master boot record (MBR) in plaats van het te versleutelen, heeft het met name meer componenten die zijn ontworpen om extra schade toe te brengen, Cisco Talos zei in een rapport waarin de reactie-inspanningen worden beschreven.

Het cyberbeveiligingsbedrijf verklaarde dat gestolen inloggegevens waarschijnlijk werden gebruikt bij de aanval en wees er ook op dat de dreigingsactor maanden van tevoren toegang had tot sommige van de slachtoffernetwerken voordat de infiltraties plaatsvonden, een klassiek teken van geavanceerde APT-aanvallen.

NotPetya en WhisperGate

De WhisperGate-infectieketen is gevormd als een proces met meerdere fasen dat een payload downloadt die het master-opstartrecord wist (MBR), downloadt vervolgens een kwaadaardig DLL-bestand dat wordt gehost op een Discord-server, dat een andere wiper-payload laat vallen en uitvoert die bestanden onherroepelijk vernietigt door hun inhoud te overschrijven met vaste gegevens op de geïnfecteerde hosts.

De bevindingen komen een week na ongeveer 80 Oekraïense websites van overheidsinstanties werden beklad, waarbij de Oekraïense inlichtingendiensten bevestigden dat de dubbele incidenten deel uitmaken van een golf van kwaadaardige activiteiten gericht op zijn kritieke infrastructuur, maar merkte ook op dat de aanvallen gebruik maakten van de recent onthulde Log4j-kwetsbaarheden om toegang te krijgen tot enkele van de gecompromitteerde systemen.

Gegevensinbreuken voorkomen

"Rusland gebruikt het land als proeftuin voor cyberoorlogen - een laboratorium voor het perfectioneren van nieuwe vormen van wereldwijde online gevechten", zegt Andy Greenberg van Wired. bekend in een diepe duik in 2017 over de aanvallen die eind 2015 op het elektriciteitsnet waren gericht en ongekende stroomuitval veroorzaakten.

"Systemen in Oekraïne staan ​​voor uitdagingen die misschien niet van toepassing zijn op die in andere regio's van de wereld, en extra bescherming en voorzorgsmaatregelen moeten worden toegepast", aldus Talos-onderzoekers. "Ervoor zorgen dat die systemen zowel gepatcht als gehard zijn, is van het grootste belang om de bedreigingen waarmee de regio wordt geconfronteerd te helpen verminderen."

Bron: https://thehackernews.com/2022/01/experts-find-strategic-similarities-bw.html

spot_img

Laatste intelligentie

spot_img