Den andra vÄgen av datatorkare cyberattacker drabbade Ukraina förra veckan, sÀger forskare

Den andra vÄgen av datatorkare cyberattacker drabbade Ukraina förra veckan, sÀger forskare


FrÄn och med dagen för Rysslands invasion av Ukraina och pÄgÄr till och med lördagen, drabbade en serie datautplÄnande cyberattacker en ukrainsk statlig organisation som anvÀnde en annan typ av skadlig programvara Àn de tidigare torkarnattackerna i landet, avslöjade forskare vid cybersÀkerhetsföretaget ESET.

Denna andra vÄg av destruktiva cyberattacker började torsdagen den 24 februari och fortsatte till och med lördagen den 26 februari, sa ESET-forskare i ett blogginlÀgg idag.

Denna tre dagar lĂ„nga serie av attacker följde de tidigare rapporterade “HermeticWiper”-attackerna som Ă€gde rum onsdagen den 23 februari. Dessa torkangrepp hade intrĂ€ffat “nĂ„gra timmar” före Rysslands invasion av Ukraina och pĂ„verkade minst fem organisationer i landet, sa forskarna.

För den andra vĂ„gen av attacker distribuerades en nyupptĂ€ckt typ av torkarskadlig programvara – kallad “IsaacWiper” av ESET. Och som en annan skillnad var bara en enda ukrainsk statlig organisation mĂ„ltavla i dessa attacker.

Den berörda statliga myndigheten kunde inte identifieras. “För att skydda offren och inte ge angriparna fördelar, kan vi inte avslöja mer detaljer”, sĂ€ger Jean-Ian Boutin, chef för hotforskning pĂ„ ESET, i ett e-postmeddelande till VentureBeat.

ESET specificerade att den ukrainska organisationen som drabbats av IsaacWiper inte hade varit mÄltavla i den första vÄgen av attacker med HermeticWiper, vilket verkar utesluta Ukrainas försvarsministerium.

Cyberupptrappning

Avslöjandet av ytterligare en vÄg av vindrutetorkarattacker i Ukraina tyder pÄ att nivÄn av cyberkrigföring som förekommer i landet kan vara högre Àn vad man tidigare insett, sÀger John Bambenek, huvudhot Hunter pÄ IT- och sÀkerhetsverksamhetsföretaget Netenrich.

Avslöjandet gör det tydligare att just nu Ă€r “inne i Ukraina i grunden en “fri-eldzon” nĂ€r det kommer till cyberattacker,” sa Bambenek i ett e-postmeddelande – med hĂ€nvisning till den militĂ€ra termen för en krigszon dĂ€r vapen kan avfyras i huvudsak. efter behag.

Avslöjandet antyder ocksĂ„ att nĂ€r vi tittar framĂ„t, “kommer vi att se mer sabotage, vilket i grunden Ă€r vad torkare Ă€r,” sa Bambenek till VentureBeat. “En del av detta kan vara militĂ€r och underrĂ€ttelsetjĂ€nst, en del kan vara oberoende icke-statliga aktörer.”

Ingen tillskrivning

Det Ă€r inte klart om det finns en direkt koppling mellan den tidigare torkarskadliga programvaran och IsaacWiper. “NĂ€r det gĂ€ller IsaacWiper, utvĂ€rderar vi för nĂ€rvarande dess kopplingar, om nĂ„gra, med HermeticWiper,” sa Boutin i ett pressmeddelande.

IsaacWiper “har ingen kodlikhet med HermeticWiper och Ă€r mycket mindre sofistikerad”, sa ESET-forskare.

ESET tillskrev inte heller HermeticWiper eller IsaacWiper. “Vi har för nĂ€rvarande inte hittat nĂ„gon pĂ„taglig koppling till en kĂ€nd hotaktör”, sa forskarna.

FĂ„ cyberattacker som har intrĂ€ffat de senaste veckorna mitt i Rysslands aggressioner mot Ukraina har tillskrivits. I januari, efter att mer Ă€n 70 ukrainska myndigheters webbplatser riktats mot den nya “WhisperGate”-familjen av skadlig programvara, anklagade Ukraina Ryssland för attackerna.

Och med de massiva DDoS-attackerna (Distributed Denial-of-Service) den 15 februari som drabbade ukrainska militÀrwebbplatser och banktjÀnster, har USA och Storbritannien tillskrivit attackerna till Ryssland.

Ingen kodlikhet

HermeticWiper – sĂ„vĂ€l som en mask som anvĂ€nds för att sprida torkaren (HermeticWizard) och lockbete (HermeticRansom) – “delar inte nĂ„gon betydande kodlikhet med andra prover i ESETs samling av skadlig programvara”, sa ESET-forskarna. “IsaacWiper Ă€r fortfarande inte tillskriven.”

IsaacWiper, som finns i “antingen en Windows DLL eller EXE utan Authenticode-signatur”, dök upp i ESET-telemetri torsdagen den 24 februari, enligt forskarna. Den första Ă„tkomstpunkten för IsaacWiper Ă€r okĂ€nd, sa de.

Sedan den 25 februari slĂ€ppte hotaktören bakom IsaacWiper en ny version av skadlig programvara som innehöll felsökningsloggar, vilket möjligen indikerar att angriparna “inte kunde torka nĂ„gra av de riktade maskinerna och la till loggmeddelanden för att förstĂ„ vad som hĂ€nde”, sa företaget. i sitt pressmeddelande.

Noterbart Ă€r att IsaacWiper rekursivt torkar filer “i en enda trĂ„d, vilket betyder att det skulle ta lĂ„ng tid att torka en stor skiva”, sa forskarna.

Även om det bara visas i ESET-telemetri den 24 februari, finns det tecken pĂ„ att IsaacWiper kan ha anvĂ€nts sĂ„ tidigt som den 19 oktober 2021, sa de.

HermeticWiper

ESET, tillsammans med Symantec, avslöjade detaljer om torkarskadlig programvara som kom att kallas HermeticWiper onsdagen den 23 februari. ESET publicerade detaljer pÄ Twitter, som man har följt upp med sitt mer djupgÄende blogginlÀgg idag.

Den destruktiva skadliga programvaran pĂ„verkade Ukrainas försvarsministerium samt finans-, flyg- och IT-tjĂ€nsteföretag i landet, enligt rapporter. HermeticWiper sĂ„gs pĂ„ “hundratals system” i minst fem olika organisationer i Ukraina, enligt ESET-forskare.

HermeticWiper försöker sĂ€rskilt tĂ€cka sina spĂ„r nĂ€r arbetet Ă€r klart, torka sig sjĂ€lv frĂ„n den drabbade disken genom att “skriva över sin egen fil med slumpmĂ€ssiga bytes”, sa forskarna.

För nÀrvarande har ESET, som Àr baserat i Bratislava, Slovakien, inga bevis för att lÀnder utanför Ukraina har varit föremÄl för nÄgon av torkarna.

“Men pĂ„ grund av den nuvarande krisen i Ukraina finns det fortfarande en risk att samma hotaktörer kommer att lansera ytterligare kampanjer mot lĂ€nder som stödjer den ukrainska regeringen eller som sanktionerar ryska enheter”, sa forskarna i blogginlĂ€gget.

KĂ€lla: ESET

Med hĂ€nvisning till en vĂ€lkĂ€nd sĂ€kerhetsexpert rapporterade The Washington Post och VentureBeat pĂ„ söndagen att skadlig programvara som raderar data hade drabbat en Ukrainas grĂ€nskontrollstation under tidigare dagar – vilket tvingar grĂ€nsagenter att behandla flyktingar som flyr landet med penna och papper och bidragit till lĂ„nga vĂ€ntetider för att ta sig in i RumĂ€nien.

SÀkerhetsexperten, HypaSecs vd Chris Kubecka, som var i Ukraina för att hjÀlpa till i hÀndelse av en cyberattack mot en kÀrnkraftsanlÀggning, fick veta detaljerna om torkarattacken genom att prata med ukrainska agenter vid den drabbade grÀnsövergÄngen vid Siret, RumÀnien. Kubecka berÀttade för VentureBeat och Cybercrime Magazine att hon har försökt fÄ tag pÄ ett urval av skadlig programvara för att torka data som forskare kan undersöka.

Kubecka berĂ€ttade för VentureBeat pĂ„ tisdagen att hon och andra samarbetspartners har “ingen framgĂ„ng hittills” med att skaffa ett urval av skadlig programvara. Cyberattacken mot grĂ€nskontrollstationen i Ukraina rapporterades först av Washington Post. Ukrainas statliga grĂ€nsbevakningstjĂ€nst och Ukrainas sĂ€kerhetstjĂ€nst har inte svarat pĂ„ e-postmeddelanden som frĂ„gar om attacken.

Civila mÄl?

Sammantaget, “senaste och pĂ„gĂ„ende cyberattacker [in Ukraine] har varit exakt riktade”, sa Microsofts president Brad Smith i ett blogginlĂ€gg pĂ„ mĂ„ndagen. Smith noterade att anvĂ€ndningen av “urskillningslös skadlig programvara”, som i NotPetya-attackerna 2017, inte har observerats hittills.

Men “vi Ă€r fortfarande sĂ€rskilt oroade över de senaste cyberattackerna mot ukrainska civila digitala mĂ„l, inklusive finanssektorn, jordbrukssektorn, rĂ€ddningstjĂ€nster, humanitĂ€ra hjĂ€lpinsatser och organisationer och företag inom energisektorn”, skrev Smith. “Dessa attacker mot civila mĂ„l vĂ€cker allvarliga farhĂ„gor enligt GenĂšvekonventionen, och vi har delat information med den ukrainska regeringen om vart och ett av dem.”

Den fjĂ€rde GenĂšvekonventionen Ă€r inriktad pĂ„ behandling av civila i krigssituationer. Smith specificerade inte vilka incidenter han hĂ€nvisade till i bloggen nĂ€r han nĂ€mnde cyberattacker som har vĂ€ckt “allvarlig oro under GenĂšvekonventionen.”

För HermeticWiper och IsaacWiper sa Boutin till VentureBeat att “i första hand har mĂ„len varit i den statliga sektorn.”

“Det hĂ€r var riktade attacker”, sa han.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.