В Украине обнаружили новые семейства вредоносных программ для уничтожения информации, нацеленных на украинские организации, сообщают в международной компании по разработке антивирусного программного обеспечения ESET.
Первая кибератака на Украину началась за несколько часов до вторжения российских войск, а также после DDoS-атак на украинские сайты правительства, министерств, банков и многие другие критически важные структуры в начале того же дня.
Во время этих разрушительных атак злоумышленники использовали, по меньшей мере, три компонента:
- HermeticWiper для уничтожения информации,
- HermeticWizard для распространения в локальной сети,
- приманку-вымогатель HermeticRansom.
Элементы вредоносного программного обеспечения указывают на то, что атаки планировались в течение нескольких месяцев.
После начала российского вторжения в Украину началась вторая разрушительная атака на украинскую правительственную сеть с использованием программы IsaacWiper для уничтожения информации.
В компании ESET предполагают, что пострадавшие организации были скомпрометированы задолго до развертывания угроз для уничтожения информации.
В ходе исследования HermeticWiper специалисты по кибербезопасности обнаружили элементы перемещения внутри организаций, которые являлись целями атаки, а также то, что злоумышленники, вероятно, получили контроль над сервером Active Directory. Специальный червь HermeticWizard использовался для распространения программы для уничтожения информации в скомпрометированных сетях. В случае с вредоносной программой IsaacWiper злоумышленники использовали инструмент удаленного доступа RemCom, а также, возможно, Imppacket для перемещения внутри сети.
Кроме этого, HermeticWiper удаляет данные о себе с диска, перезаписывая свой файл случайными байтами. Этот метод, вероятно, направлен на предотвращение анализа вредоносной программы после инцидента. Программа-вымогатель HermeticRansom, которая использовалась в качестве приманки, была развернута одновременно с HermeticWiper для скрытия действий программы для уничтожения информации.
Через день после развертывания IsaacWiper киберпреступники выпустили новую версию с журналами налаживания. Это может свидетельствовать о том, что злоумышленники не смогли уничтожить данные на некоторых рабочих станциях и добавили сообщение журнала, чтобы понять, что происходит.
Исследователям ESET пока не удалось связать эти атаки с какими-либо известными угрозами из-за отсутствия значительного сходства с другими образцами вредоносных программ.
В связи с опасностью других атак на украинских пользователей специалисты ESET сегодня как никогда настоятельно рекомендуют придерживаться основных правил кибербезопасности, а именно: использовать надежные решения, которые способные обеспечить многоуровневую защиту корпоративных сетей, и системы обнаружения и реагирования, которые помогут обнаружить кибератаку на начальной стадии.