Rus devlet destekli bilgisayar korsanları, kötü korunan VPN’ler ve kötü amaçlı yazılımlar sayesinde Ukrayna devlet ağlarına ait cihazlardan verileri sildi (yeni sekmede açılır) popüler arşivleme programı WinRAR’ı kötüye kullanan.
Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) geçtiğimiz günlerde Sandworm grubundan olduğu düşünülen bir Rus tehdit aktörünün çok faktörlü kimlik doğrulama (MFA) ayarına sahip olmayan güvenliği ihlal edilmiş VPN hesaplarını kullanarak Ukrayna devlet ağlarını tehlikeye atmayı başardığını iddia etti. yukarı.
Bilgisayar korsanı, erişim sağladıktan sonra, esas olarak etkilenen sürücüleri silen “RoarBat” adlı kötü amaçlı yazılımı dağıtır.
Her şey siliniyor
Kötü amaçlı yazılımın yaptığı, sürücüde .doc, .txt, .jpg ve .xlsx gibi farklı uzantılara sahip dosyaları aramaktır. Ardından, tüm bu dosyaları arşivlemesi için WinRAR’ı çağırır ve arşivlenmekte olan tüm dosyaları silen “-df” komut satırı seçeneğini ekler.
İş bittiğinde, kötü amaçlı yazılım arşivin kendisini siler ve esasen diskte bulunan tüm verileri tek bir hamlede siler.
Tehdit aktörleri ayrıca Linux cihazlarını da hedefliyor, ajans ayrıca bu işletim sistemi için bir Bash betiği ve hedef dosyaların üzerine sıfır bayt ile yazmak için “dd” yardımcı programını kullandıklarını söyledi. BleepingComputer, “Bu veri değişimi nedeniyle, dd aracı kullanılarak “boşaltılan” dosyaların kurtarılması tamamen imkansız değilse bile pek olası değildir,” diyor.
CERT-UA, bu tür bir saldırının Ukrayna devlet ağlarını ilk kez hedef almadığını iddia ediyor. Ocak 2023’te ülkenin devlet haber ajansı Ukrinform da Sandworm tarafından hedef alındı:
“Kötü amaçlı planın uygulama yöntemi, erişim konularının IP adresleri ve RoarBat’ın değiştirilmiş bir sürümünün kullanılması gerçeği, bilgileri Telegram kanalında yayınlanan Ukrinform’daki siber saldırı ile benzerliğe tanıklık ediyor ” CyberArmyofRussia_Reborn” 17 Ocak 2023’te.” CERT-UA dedi.
Bu tür saldırılara karşı savunma yapmanın en iyi yolu, donanım ve yazılımı güncel tutmak, mümkün olduğunda MFA’yı etkinleştirmek ve yönetim arabirimlerine erişimi mümkün olduğunca sınırlandırmaktır.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)