Rusya’nın askeri işgalinin başlamasından önce ülkedeki birden fazla varlığı yıkıcı siber saldırıların vurmasından bir gün sonra, adı açıklanmayan bir Ukrayna hükümet ağına karşı yeni bir veri silici kötü amaçlı yazılımın konuşlandırıldığı gözlemlendi.
Slovak siber güvenlik firması ESET, yeni kötü amaçlı yazılımı adlandırdı “IsaacSilecek24 Şubat’ta, makineleri çalışamaz hale getirmeyi amaçlayan bir sabotaj operasyonunun bir parçası olarak 23 Şubat’ta birkaç kuruluşu hedef alan başka bir veri silme kötü amaçlı yazılımı olan HermeticWiper’dan (diğer adıyla FoxBlade) etkilenmeyen bir kuruluşta tespit edildiğini söyledi.
En az beş Ukraynalı kuruluşa bulaşan HermeticWiper saldırılarının daha fazla analizi, kötü amaçlı yazılımı güvenliği ihlal edilmiş ağ boyunca yayan bir solucan bileşenini ve “silme saldırılarından dikkati dağıtan” bir fidye yazılımı modülünü ortaya çıkardı ve Symantec’in önceki bir raporunu doğruladı. .
Şirket, “Bu yıkıcı saldırılar en az üç bileşenden yararlandı: Verileri silmek için HermeticWiper, yerel ağda yayılmak için HermeticWizard ve bir tuzak fidye yazılımı olarak hareket eden HermeticRansom,” dedi.
Yeni Golang tabanlı fidye yazılımının ayrı bir analizinde, kötü amaçlı yazılımı “Elections GoRansom” olarak kodlayan Rus siber güvenlik şirketi Kaspersky, karakterize bunun bir son dakika operasyonu olduğunu ve “sofistike olmayan stili ve zayıf uygulaması nedeniyle muhtemelen HermeticWiper saldırısı için bir sis perdesi olarak kullanıldığını” ekledi.
Adli bir önlem olarak, HermeticWiper ayrıca rastgele baytlarla kendi dosyasının üzerine yazarak kendisini diskten silerek analizi engellemek üzere tasarlanmıştır.
ESET, bu saldırıları bilinen bir tehdit aktörüne atfetmek için “herhangi bir somut bağlantı” bulamadığını ve kötü amaçlı yazılım yapılarının izinsiz girişlerin birkaç aydır planlandığını ima ettiğini ve hedeflenen varlıkların önceden taviz verdiği gerçeğinden bahsetmediğini söyledi. silecek dağıtımına.
“Bu, birkaç gerçeğe dayanmaktadır: En eskisi 28 Aralık 2021 olan HermeticWiper PE derleme zaman damgaları; kod imzalama sertifikasının yayın tarihi 13 Nisan 2021; ve HermeticWiper’ın varsayılan etki alanı politikası aracılığıyla en az bir durumda konuşlandırılması ESET tehdit araştırması başkanı Jean-Ian Boutin, “saldırganların kurbanın Active Directory sunucularından birine önceden erişimi olduğunu gösteriyor” dedi.
Saldırganların aşağıdaki gibi araçlardan yararlandığından şüphelenilse de, her iki sileceği dağıtmak için kullanılan ilk erişim vektörleri de bilinmiyor. Impacket ve yanal hareket ve kötü amaçlı yazılım dağıtımı için bir uzaktan erişim yazılımı olan RemCom.
Ayrıca, IsaacWiper, HermeticWiper ile kod düzeyinde örtüşmeler paylaşmaz ve dosya silme işlemlerini gerçekleştirmeye devam etmeden önce tüm fiziksel ve mantıksal sürücüleri numaralandırmaya kalksa bile, önemli ölçüde daha az karmaşıktır.
Araştırmacılar, “25 Şubat 2022’de saldırganlar, hata ayıklama günlükleriyle birlikte IsaacWiper’ın yeni bir sürümünü düşürdü” dedi. “Bu, saldırganların hedeflenen makinelerin bazılarını silemediğini ve neler olduğunu anlamak için günlük mesajları ekleyemediğini gösterebilir.”
