Den nye dataødelæggende malware der blev påført på ukrainske netværk i angreb onsdags lige før Rusland invaderede Ukraine var i nogle tilfælde, ledsaget af en GoLang-baserede ransomware lokkedue.
“I flere angreb som Symantec har undersøgt, blev ransomware også indsat mod berørte organisationer på samme tid som virussen. Som med planlagte opgaver blev brugt til at implementere ransomware,” afslørede Symantec. “Det forekommer sandsynligt, at ransomware blev brugt som en lokkedue eller distraktion fra dataudslættende angreb. Dette har nogle ligheder med de tidligere WhisperGate visker angreb mod Ukraine, hvor virussen var forklædt som ransomware.”
Sammen med ransomware lokkeduen faldt også en løsesumsnotat om kompromitterede systemer, med et politisk budskab der sagde, at “Det eneste, vi lærer af nyvalg er vi lærte intet af det gamle!” Løsesumsnotat instruerer ofrene til at række ud til to e-mail-adresser (dvs. vote2024forjb@protonmail.com og stephanie.jones2024@protonmail.com) for at komme tilbage deres filer.
Virussen kaldet HermeticWiber af SentinelOne vigtigste analytiker Juan Andres Guerrero-Saade, blev droppet i gårsdagens angreb rettet mod ukrainske organisationer, og det endte også på systemer uden for Ukraines grænser. Mål, der blev ramt af angreb omfattede også finansiering og offentlige entreprenører fra Ukraine, Letland og Litauen, som Vikram Thakur, teknisk direktør hos Symantec Threat Intelligence, fortælles det fra BleepingComputer.
HermetticWiper udslætter
Mens cyberangreb fandt sted i går, cybersikkerhedsfirmaet bemærker ESET, at HermeticWiper malware havde en samlingsdato den 28. december 2021, som antyder angrebene er planlagt.
Symantec fandt beviser for at angribere fik adgang til ofrenes netværk i god tid ved at udnytte Microsoft Exchange sårbarheder så tidligt som i november 2021 og installere web-skaller, før de implementerede Wiber-malware. For eksempel blev “en organisation i Litauen kompromitteret fra mindst 12. november 2021 og fremefter,” sagde Symantec.
Wiber-malware bruger EaseUS Partition Manager drivere til korrupte og kompromitterede enhedsfiler, før genstart af computeren. Som analytiker Silas Cutler også fundet ud af omkring dataudslætteren at også papirkurven enhedens Master Boot Record, gør alle inficerede enheder unbootable. Dette var den anden dataudslætter, der blev brugt mod ukrainske netværk siden starten af året. Som Microsoft afslørede i januar, er en destruktiv dataudslættende malware døbt WhisperGate og camoufleret som ransomware, der blev brugt i angreb rettet mod ukrainske organisationer.
Ligesom HermeticWiper blev WhisperGate brugt til at ødelægge filer og slette kompromitterede enheders Master Boost Records, hvilket gjorde det umuligt at starte ind i operativsystemet eller få adgang til filer, der er gemt på harddisken.
Ingen tilskrivning for gårsdagens angreb på Ukraine
Gårsdagens malware-angreb kom sammen med DDoS angreb mod ukrainske statslige organer og statsejede banker, svarende til den, der anvendes i sidste uge, da lignende DDoS forstyrrelser påvirket ukrainske regering websteder og banker. Mens onsdag angreb ikke er blevet tilskrevet, White House knyttet sidste uges DDoS angreb til Ruslands vigtigste direktorat for generalstaben i de væbnede styrker i Rusland.
Dataudslættere har også været et værktøj, der ofte bruges af russiske statsstøttede hackinggrupper tidligere. Et angreb der ramte tusindvis af ukrainske virksomheder med NotPetya ransomware i 2017 blev knyttet til russiske GRU hackere tre år senere af USA.
I 2020 blev russiske GRU-hackere, der menes at være en del af den russiske elite hackinggruppe kendt som Sandworm, formelt anklaget af USA for NotPetya-angrebene. Denne måneds DDoS og malware-angreb følger en pressemeddelelse fra Ukraines Sikkerhedstjeneste (SSU) siger, at landet er målet for en “masse-bølge af hybrid krigsførelse”.
Kilde: BleepingComputer
Billede: Artem Kniaz
