Ransomware anvĂ€nds som ett “lock eller distraktion” vid attacker i Ukraina, sĂ€ger forskare


Cyberattackare anvĂ€nde ransomware i flera fall för att fungera som ett “lock eller distraktion” nĂ€r de riktade in sig pĂ„ organisationer i Ukraina med diskborttagning av skadlig programvara i onsdags, strax före Rysslands invasion av landet, sa forskare vid Symantec.

Datatorkaren har döpts till HermeticWiper av en forskare pÄ SentinelOne, eftersom dess digitala certifikat hade utfÀrdats under namnet Hermetica Digital Ltd.

Forskare vid Symantec och ESET avslöjade först detaljer om datatorkaren pÄ onsdagen. ESET rapporterade att torkaren installerades pÄ hundratals maskiner i Ukraina och följde distribuerade DDoS-attacker (Denial-of-Service) mot ukrainska webbplatser tidigare under dagen.

Symantecs forskare rapporterade att de ocksÄ har upptÀckt bevis för att torkarattackerna pÄverkade maskiner i Litauen och Lettland.

Decoy för destruktiv skadlig programvara

I attackerna i onsdags sa Symantecs forskare att den destruktiva skadliga programvaran utplacerades mot försvarsorganisationer sÄvÀl som finans-, flyg- och IT-tjÀnsteföretag. Och ransomware var en del av attackerna i vissa fall.

“I flera attacker som Symantec hittills har undersökt har ransomware ocksĂ„ utplacerats mot drabbade organisationer samtidigt som torkaren”, sa Symantec-forskare i ett blogginlĂ€gg.

“Som med torkaren anvĂ€ndes schemalagda uppgifter för att distribuera ransomware”, sa forskarna. “Filnamn som anvĂ€nds av ransomware inkluderar client.exe, cdir.exe, cname.exe, connh.exe och intpub.exe.”

Noterbart, “det verkar troligt att ransomware anvĂ€ndes som ett lockbete eller distraktion frĂ„n wiper-attackerna”, sa Symantec-forskarna och publicerade en bild av en förmodligen falsk lösensumma som anvĂ€ndes med ransomware.

Detta tillvĂ€gagĂ„ngssĂ€tt “har vissa likheter med de tidigare WhisperGate-torkarattackerna mot Ukraina, dĂ€r torkaren var förklĂ€dd som ransomware”, sa forskarna, med hĂ€nvisning till januariattackerna som gjorde dussintals av den ukrainska regeringens webbplatser otillgĂ€ngliga eller förstörda.

Cyberupptrappning

NÀr det gÀller HermeticWiper rapporterade Juan Andres Guerrero-Saade, forskaren vid SentinelOne som gav skadlig programvara dess namn, att torkaren raderar Windows-enheter, efter att den raderar skuggkopior och manipulerar Master Boot Record (MBR) efter en omstart.

“Efter en vecka av defacements och ökande DDoS-attacker Ă€r spridningen av sabotageoperationer genom skadlig programvara en förvĂ€ntad och beklaglig upptrappning”, skrev Guerrero-Saade.

I slutĂ€ndan har risken bara ökat att cyberattackerna “kan strĂ€cka sig ut ur Ukraina och pĂ„verka NATO- och EU-medlemsstaterna”, sa forskare vid Digital Shadows Photon Research-teamet pĂ„ torsdagen. “Detta har redan observerats med HermeticWiper som pĂ„verkar nĂ€tverk i Lettland och Litauen.”

2017 Ă„rs NotPetya-attack “kommer genast att tĂ€nka pĂ„”, sa Digital Shadows-forskarna. BestĂ€lld av den ryska regeringen och initialt riktad mot företag i Ukraina, slutade NotPetya-masken spridas över hela vĂ€rlden. Det Ă€r fortfarande den dyraste cyberattacken hittills, med skadestĂ„nd pĂ„ 10 miljarder dollar.

Dessutom kan Rysslandsbaserade cyberbrottslingar “ocksĂ„ bli uppmuntrade eller pĂ„ annat sĂ€tt uppmuntrade av Rysslands handlingar”, sa Digital Shadows-forskarna.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.