A A+ A++

23 lutego 2022 r. przeprowadzony został cyberatak z wykorzystaniem złośliwego oprogramowania HermeticWiper, który uszkadza dane na dysku zainfekowanego komputera. Atak był wymierzony w ukraińskie organizacje państwowe, kluczowe z punktu funkcjonowania kraju. Ten cyberatak o kilka godzin poprzedził rozpoczęcie inwazji sił Federacji Rosyjskiej na Ukrainę. Początkowe wektory ataku różniły się w zależności od organizacji. Potwierdzony został jeden przypadek instalacji HermeticWipera poprzez GPO (pozwalające zainstalować dowolne oprogramowanie zdalnie). Ślady dotyczące złośliwego oprogramowania Wiper sugerują, że atak ten był planowany od kilku miesięcy.

24 lutego 2022 r. rozpoczął się drugi atak na ukraińską sieć rządową, tym razem przy użyciu IsaacWiper. IsaacWiper występował jako biblioteka DLL systemu Windows lub plik wykonywalny EXE i nie posiadał podpisu Authenticode (weryfikującego autentyczność wydawcy aplikacji). W pliku zagrożenia odnaleźliśmy dane, które wskazują, że atak mógł być planowany od kilku miesięcy. IsaacWiper nie ma podobieństw w kodzie do HermeticWiper i jest znacznie mniej wyrafinowany. Biorąc pod uwagę oś czasu, możliwe jest, że oba są ze sobą powiązane, ale na ten moment nie zostało to potwierdzone.

Badacze ESET zaobserwowali również oprogramowanie ransomware, nazwane HermeticRansom, napisane w języku programowania Go i rozpowszechniane w tym samym czasie w ukraińskiej sieci. HermeticRansom został po raz pierwszy zgłoszony we wczesnych godzinach 24 lutego 2022 UTC na Twitterze.

Narzędzia telemetryczne ESET pokazują znacznie mniejszą intensywność jego rozprzestrzeniania w porównaniu z HermeticWiper. W jednym analizowanym przypadku HermeticRansom oraz HermeticWiper zostały odnalezione na tej samej maszynie, a ich czasy instalacji mogą sugerować, że celem HermeticRansom było ukrycie działań realizowanych z wykorzystaniem tego drugiego. 

25 lutego 2022 r. pojawiła się nowa wersja IsaacWipera, która zapisywała efekty działania Wipera do dziennika logowania. Zmiana może sugerować, że atakujący nie byli w stanie usunąć danych z niektórych zaatakowanych maszyn i dodali komunikaty dziennika, aby zrozumieć, dlaczego tak się dzieje. 

Badacze ESET informują, że odkryty został także robak używany do rozprzestrzeniania Wipera, na inne komputery połączone w sieci lokalnej.

Oprogramowanie WIPER wymazuje pliki z zainfekowanych dysków

IsaacWiper zaczyna swoją niszczycielską działalność od enumeracji dysków fizycznych w celu uzyskania ich identyfikatorów. Następnie Wiper rozpoczyna wymazywanie pierwszych 64 KB każdego dysku za pomocą generatora liczb pseudolosowych ISAAC. Następnym krokiem w przebiegu ataku jest sprawdzanie kolejnych dysków logicznych i sukcesywne wymazywanie plików na każdym z nich. Dane pseudolosowe użyte do niszczenia zawartości pochodzą również z generatora ISAAC.

Warto zauważyć, że IsaacWiper wymazuje pliki w pojedynczym wątku, co oznacza, że ​​wyczyszczenie dużego dysku zajmuje dużo czasu. Badacze ESET na bieżąco monitorują sytuację związaną z wojną w Ukrainie, w obszarze działań prowadzonych w cyberprzestrzeni. W tym momencie nie mamy żadnych sygnałów wskazujących, że celem są inne kraje, jednak sytuacja zmienia się dynamicznie.

Autor: Kamil Sadkowki, starszy specjalista ds. cyberbezpieczeństwa w ESET

Oryginalne źródło: ZOBACZ
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułNie czekajmy na przepisy
Następny artykułObwieszczenie Starosty Piaseczyńskiego o wszczęciu postępowania w sprawie zezwolenia na realizację inwestycji drogowej pn.:”Rozbudowa drogi powiatowej nr 2829W na odc. od ul. Zagłoby do ul.11 Listopada