Nieuwe wiper-malware gericht op Oekraïne tijdens Russische militaire operatie

Wiper Malware ciblant l'Ukraine Nachrichten

Cyberbeveiligingsbedrijven ESET en Broadcom’s Symantec zeiden dat ze een nieuwe malware voor het wissen van gegevens hadden ontdekt die werd gebruikt bij nieuwe aanvallen op honderden machines in Oekraïne, terwijl Russische troepen formeel een volledige schaal militaire operatie tegen het land.

Het Slowaakse bedrijf noemde de wisser „Hermetische Wiper“ (ook bekend als KillDisk.NCV), met een van de malware-samples die op 28 december 2021 zijn samengesteld, wat impliceert dat de voorbereidingen voor de aanvallen mogelijk al bijna twee maanden aan de gang zijn.

„Het binaire bestand van de wiper is ondertekend met een code-ondertekeningscertificaat dat is uitgegeven aan Hermetica Digital Ltd“, zei ESET in een reeks tweets. „De wiper misbruikt legitieme stuurprogramma’s van de EaseUS Partition Master-software om gegevens te corrumperen. Als laatste stap start de wiper opnieuw op [the] computer.“

Bij ten minste één van de inbraken werd de malware rechtstreeks vanaf de Windows-domeincontroller geïmplementeerd, wat aangeeft dat de aanvallers de controle over het doelnetwerk hadden overgenomen.

De omvang en de impact van de data-wiping-aanvallen zijn nog onbekend, evenals de identiteit van de dreigingsactor achter de infecties. Maar de ontwikkeling is de tweede keer dit jaar dat een datawisser is ingezet op Oekraïense computersystemen na de WhisperGate-operatie half januari.

De wisseraanvallen volgen ook een derde „massieve“ golf van gedistribueerde denial-of-service (DDoS)-aanvallen die woensdag verschillende Oekraïense regerings- en bankinstellingen troffen, waardoor online portals voor het ministerie van Buitenlandse Zaken, het kabinet van ministers en Rada, het parlement van het land, werden uitgeschakeld.

Wisser-malware

Vorige week waren twee van de grootste Oekraïense banken, PrivatBank en Oschadbank, evenals de websites van het Oekraïense ministerie van Defensie en de strijdkrachten uitgevallen als een resultaat van een DDoS-aanval van onbekende acteurs, waardoor de VK en ons regeringen om met de vinger te wijzen naar het Russische hoofddirectoraat voor inlichtingen (GRU), een aantijging het Kremlin heeft ontkend.

Wisser-malware

Campagnes die DDoS-aanvallen gebruiken, leveren stortvloeden van junkverkeer die bedoeld zijn om doelen te overweldigen met als doel ze ontoegankelijk te maken. Een daaropvolgende analyse van de incidenten van 15 februari door de CERT-UA gevonden dat ze werden uitgevoerd met behulp van botnets zoals Mirai en Mēris door gebruik te maken van gecompromitteerde MikroTik-routers en andere IoT-apparaten.

Bovendien zouden informatiesystemen van de Oekraïense staatsinstellingen tevergeefs het doelwit zijn geweest in zo veel als 121 cyberaanvallen alleen al in januari 2022.

Dat is niet alles. Cybercriminelen op het dark web proberen te profiteren van de aanhoudende politieke spanningen door te adverteren voor databases en netwerktoegangen met informatie over Oekraïense burgers en kritische infra-entiteiten op RaidForums en gratis civiele marktplaatsen in de „hoop om hoge winsten te behalen“, aldus een verslag doen van gepubliceerd door Accenture eerder deze week.

De voortdurende aanval van schadelijke cyberaanvallen sinds het begin van het jaar heeft de Oekraïense wetshandhavingsautoriteit er ook toe gebracht de aanvallen af ​​te schilderen als een poging om angst te zaaien, het vertrouwen in het vermogen van de staat om zijn burgers te verdedigen te ondermijnen en zijn eenheid te destabiliseren.

„Oekraïne wordt geconfronteerd met pogingen om systematisch paniek te zaaien, valse informatie te verspreiden en de werkelijke stand van zaken te verdraaien“, zegt de veiligheidsdienst van Oekraïne (SSU) zei op 14 februari. „Dit alles bij elkaar is niets meer dan een nieuwe massale golf van hybride oorlogsvoering.“

David
Rate author
Hackarizona