Symantec đưa tin, ransomware đã được sử dụng làm mồi nhử trong một số cuộc tấn công mạng nhằm xóa sạch dữ liệu gần đây nhằm vào các tổ chức ở Ukraine.
Các cuộc tấn công mạng được sử dụng Kín Khăn Lau, một phần mềm độc hại được thiết kế chỉ để làm hỏng Bản ghi khởi động chính (MBR) của hệ thống mục tiêu, khiến máy không thể sử dụng được.
Sau khi được thực thi, trình xóa sẽ điều chỉnh cài đặt của nó để giành quyền kiểm soát quyền truy cập đọc vào bất kỳ tệp nào, sau đó nhận được các đặc quyền cần thiết để tải và dỡ tải trình điều khiển thiết bị, vô hiệu hóa các kết xuất lỗi để che dấu vết của nó, vô hiệu hóa Dịch vụ Bóng tối Ổ đĩa (VSS) và tải một bản sao lành tính. trình quản lý phân vùng mà nó lợi dụng để làm hỏng MBR.
Trình gạt nước sử dụng các phương pháp sửa lỗi khác nhau dựa trên phiên bản Windows đang chạy trên máy và loại phân vùng (FAT hoặc NTFS). Các nhà nghiên cứu thuộc bộ phận Talos của Cisco có thể làm hỏng cả ổ MBR và GPT, đồng thời kích hoạt khởi động lại hệ thống để hoàn tất quy trình xóa dữ liệu. ghi.
Mặc dù bị hành quyết vào ngày 23 tháng XNUMX, vài giờ trước khi Nga tiến hành cuộc xâm lược Ukraine, các cuộc tấn công dường như đã được chuẩn bị trong nhiều tháng.
Mạng của một tổ chức ở Ukraine đã bị xâm phạm vào ngày 23 tháng 2021 năm 16, với web shell được cài đặt vào ngày XNUMX tháng XNUMX, hơn một tháng trước khi HermeticWiper được triển khai, Symantec báo cáo.
[ ĐỌC: Nga, Ukraine và Nguy cơ xảy ra chiến tranh mạng toàn cầu ]
Công ty an ninh mạng cũng đã tìm thấy bằng chứng cho thấy cần gạt nước cũng được sử dụng trong các cuộc tấn công nhằm vào máy tính ở Lithuania. Ít nhất một tổ chức trong nước đã trở thành nạn nhân của HermeticWiper, sau khi những kẻ tấn công xâm nhập mạng của tổ chức này và tồn tại dai dẳng vào tháng 2021 năm XNUMX.
Trong cả hai cuộc tấn công, kẻ đứng sau cần gạt nước đã đánh cắp thông tin đăng nhập được tìm thấy trong môi trường bị xâm nhập và thực thi cần gạt nước bằng các tác vụ đã lên lịch.
Tương tự như cuộc tấn công mạng WhisperGate ở Ukraine, một số sự cố HermeticWiper liên quan đến việc thực thi ransomware trên các máy bị nhiễm. Tuy nhiên, Symantec tin rằng ransomware chỉ được sử dụng để đánh lạc hướng khỏi các cuộc tấn công xóa dữ liệu mang tính hủy diệt.
Bất chấp khả năng hủy diệt và những điểm tương đồng trong cách nhắm mục tiêu và hành vi, WhisperGate và HermeticWiper không hiển thị mã trùng lặp, Các nhà nghiên cứu của IBM Security X-Force cho biết.
Cả IBM và Symantec đều cảnh báo rằng tình hình đang phát triển ở Ukraine dự kiến sẽ kéo theo những cuộc tấn công mạng có sức tàn phá lớn hơn, có khả năng leo thang song song với cuộc xung đột đang diễn ra.
Liên quan: Máy tính nhắm mục tiêu phần mềm độc hại 'HermeticWiper' có tính hủy diệt ở Ukraine
Liên quan: Các cuộc tấn công mạng đi kèm với cuộc tấn công quân sự của Nga vào Ukraine
Liên quan: Phần mềm độc hại 'Cyclops Blink' mới được liên kết với tin tặc nhà nước Nga nhắm mục tiêu tường lửa
Ionut Arghire là phóng viên quốc tế của SecurityWeek.
tags:
