Er is een nieuwe malware voor het wissen van gegevens waargenomen tegen een niet nader genoemd Oekraïens overheidsnetwerk, een dag nadat destructieve cyberaanvallen meerdere entiteiten in het land hadden getroffen voorafgaand aan het begin van de Russische militaire invasie.
Slowaaks cyberbeveiligingsbedrijf ESET noemde de nieuwe malware “IsaacWiper“, waarvan het zei dat het op 24 februari werd gedetecteerd in een organisatie die niet werd getroffen door HermeticWiper (ook bekend als FoxBlade), een andere malware voor het wissen van gegevens die op 23 februari op verschillende organisaties was gericht als onderdeel van een sabotageoperatie die erop gericht was de machines onbruikbaar te maken.
Nadere analyse van de HermeticWiper-aanvallen, die ten minste vijf Oekraïense organisaties hebben geïnfecteerd, hebben een wormbestanddeel onthuld dat de malware verspreidt over het gecompromitteerde netwerk en een ransomware-module die fungeert als een “afleiding van de wiper-aanvallen”, wat een eerder rapport van Symantec bevestigt .
“Deze destructieve aanvallen maakten gebruik van ten minste drie componenten: HermeticWiper voor het wissen van de gegevens, HermeticWizard voor verspreiding op het lokale netwerk en HermeticRansom als een lok-ransomware”, aldus het bedrijf.
In een afzonderlijke analyse van de nieuwe op Golang gebaseerde ransomware, heeft het Russische cyberbeveiligingsbedrijf Kaspersky, dat de malware de codenaam “Elections GoRansom” gaf, gekenmerkt het als een last-minute operatie, eraan toevoegend dat het “waarschijnlijk werd gebruikt als een rookgordijn voor de HermeticWiper-aanval vanwege de niet-geavanceerde stijl en slechte implementatie.”
Als anti-forensische maatregel is HermeticWiper ook ontworpen om analyse te belemmeren door zichzelf van de schijf te wissen door zijn eigen bestand te overschrijven met willekeurige bytes.
ESET zei dat het “geen tastbaar verband” heeft gevonden om deze aanvallen toe te schrijven aan een bekende dreigingsactor, waarbij de malware-artefacten impliceren dat de inbraken al enkele maanden gepland waren, om nog maar te zwijgen van het feit dat de doelwitten ruim van tevoren compromissen hadden geleden aan de inzet van de wisser.
“Dit is gebaseerd op verschillende feiten: de HermeticWiper PE-compilatietijdstempels, waarvan de oudste 28 december 2021 is; de uitgiftedatum van het code-ondertekeningscertificaat van 13 april 2021; en de implementatie van HermeticWiper via het standaarddomeinbeleid in ten minste één instantie , wat suggereert dat de aanvallers eerder toegang hadden tot een van de Active Directory-servers van dat slachtoffer”, zegt Jean-Ian Boutin, hoofd van ESET-onderzoek naar bedreigingen.
Ook onbekend zijn de initiële toegangsvectoren die worden gebruikt om beide wissers in te zetten, hoewel vermoed wordt dat de aanvallers tools zoals Impacket en RemCom, software voor toegang op afstand, voor zijdelingse verplaatsing en verspreiding van malware.
Verder deelt IsaacWiper geen overlap op codeniveau met HermeticWiper en is het aanzienlijk minder geavanceerd, zelfs als het de bedoeling is om alle fysieke en logische stations op te sommen voordat het doorgaat met het wissen van bestanden.
“Op 25 februari 2022 lieten aanvallers een nieuwe versie van IsaacWiper vallen met debug-logboeken”, aldus de onderzoekers. “Dit kan erop wijzen dat de aanvallers niet in staat waren om sommige van de gerichte machines te wissen en logberichten toe te voegen om te begrijpen wat er aan de hand was.”
