Недавно обнаруженное вредоносное ПО использовалось в деструктивных атаках на украинские организации и правительственные сети до и после вторжения России в страну 24 февраля.
Анализируя эти атаки, аналитики ESET Research Labs обнаружили новый вайпер данных, который они назвали IsaacWiper .
Они также обнаружили нового червя под названием HermeticWizard , который сбрасывал второй очиститель, известный как HermeticWiper , с помощью модулей распространения WMI и SMB.
Исследователи ESET не связывают эти новые штаммы вредоносных программ с какими-либо известными субъектами угроз, которые также заявили, что им еще предстоит найти ссылки на другие образцы вредоносных программ.
«Что касается IsaacWiper, в настоящее время мы оцениваем его связи, если таковые имеются, с HermeticWiper. Важно отметить, что это было замечено в украинской правительственной организации, которая не пострадала от HermeticWiper», — сказал глава ESET по исследованию угроз Жан-Иан. Бутин.
HermeticWiper и IsaacWiper также были развернуты в рамках отдельных кампаний, первая из которых наблюдалась 23 февраля, за несколько часов до начала вторжения, и распространялась с помощью HermeticWizard по локальным сетям вместе с программой-вымогателем HermeticRansom на базе Go.
IsaacWiper использовался во второй серии атак на украинскую правительственную сеть 24 февраля и был обнаружен в украинской правительственной сети.
Хронология атак (ESET)
Целевые деструктивные атаки вредоносного ПО
До того, как недавно обнаруженное вредоносное ПО HermeticWiper было сброшено вместе с ложными целями HermeticRansom , чтобы вывести устройства из строя в начале этого месяца, в январе Украина также пострадала от еще одной серии разрушительных вредоносных атак с использованием очистителя WhisperGate , также замаскированного под полезную нагрузку программы-вымогателя.«На данный момент у нас нет никаких признаков того, что целью атак были другие страны», — заявили исследователи ESET. «Однако из-за нынешнего кризиса в Украине все еще существует риск того, что те же самые субъекты угроз начнут дальнейшие кампании против стран, которые поддерживают украинское правительство или вводят санкции против российских организаций».
На выходных CISA и ФБР предупредили американские организации, что атаки по удалению данных против Украины могут случайно распространиться на сети других стран .
Исследователи Microsoft Threat Intelligence Center (MSTIC) также сообщили о наблюдении за атаками вредоносного ПО, нацеленными на Украину, и обнаружении нового трояна, который они назвали FoxBlade , способного использовать взломанные устройства для запуска распределенных атак типа «отказ в обслуживании» (DDoS).
Эти продолжающиеся кибератаки на украинские организации «имели точную цель», заявил президент и вице-председатель Microsoft Брэд Смит.
Это контрастирует с неизбирательными атаками вредоносного ПО, затронувшими сети и экономику Украины и других стран во время всемирной атаки NotPetya в 2017 году, которая позже была связана с Sandworm, хакерской группой Главного разведывательного управления ГРУ России.
Эти разрушительные атаки являются частью « массовой волны гибридной войны », говорится в пресс-релизе, выпущенном Службой безопасности Украины (СБУ) непосредственно перед началом войны.
Дополнительную техническую информацию о недавно обнаруженном очистителе данных IsaacWiper и черве HermeticWizard вместе с индикаторами компрометации можно найти в отчете ESET Research Labs .
Перевод - Google
Bleeping Computer
