Yeni keşfedilen kötü amaçlı yazılımlar, Rusya’nın 24 Şubat’ta ülkeyi işgal etmesinden önce ve sonra Ukraynalı kuruluşlara ve hükümet ağlarına yönelik yıkıcı saldırılarda kullanıldı.
Bu saldırıları analiz ederken, ESET Research Labs analistleri keşfetti dublajladıkları yeni bir veri sileceği IsaacSilecek.
adlı yeni bir solucan da tespit ettiler. HermetikSihirbaz olarak bilinen ikinci bir sileceği düşürmek için kullanılır Hermetik Silecek WMI ve SMB yayıcı modülleri yardımıyla.
Bu yeni kötü amaçlı yazılım türleri, henüz diğer kötü amaçlı yazılım örneklerine bağlantı bulamadıklarını söyleyen ESET araştırmacıları tarafından bilinen herhangi bir tehdit aktörüne atfedilmedi.
ESET Tehdit Araştırmaları Başkanı Jean-Ian, “IsaacWiper ile ilgili olarak, varsa, onun HermeticWiper ile olan bağlantılarını değerlendiriyoruz. Bunun, HermeticWiper’dan etkilenmeyen bir Ukrayna devlet kurumunda görüldüğünü belirtmek önemlidir,” dedi. Boutin.
HermeticWiper ve IsaacWiper ayrıca, ilk olarak 23 Şubat’ta, istilanın başlamasından saatler önce gözlemlenen, Go tabanlı HermeticRansom fidye yazılımıyla birlikte yerel ağlar arasında HermeticWizard kullanılarak yayılan ayrı kampanyalarda konuşlandırıldı.
IsaacWiper, 24 Şubat’ta bir Ukrayna hükümet ağına yönelik ikinci bir dizi saldırıda kullanıldı ve bir Ukrayna hükümet ağında bulundu.
Hedeflenen yıkıcı kötü amaçlı yazılım saldırıları
Önce yeni keşfedilen HermeticWiper kötü amaçlı yazılımı ile birlikte düşürüldü HermetikFidye tuzakları Cihazları bu ayın başlarında önyüklenemez hale getirmek için, Ukrayna da Ocak ayında yayılan başka bir yıkıcı kötü amaçlı yazılım saldırısından etkilendi. WhisperGate silecekayrıca bir fidye yazılımı yükü olarak gizlenmiştir.
ESET araştırmacıları, “Bu noktada, diğer ülkelerin hedef alındığına dair hiçbir belirtimiz yok” dedi. “Ancak, Ukrayna’daki mevcut kriz nedeniyle, aynı tehdit aktörlerinin Ukrayna hükümetini destekleyen veya Rus kuruluşlarına yaptırım uygulayan ülkelere karşı yeni kampanyalar başlatma riski hala var.”
Hafta sonu boyunca, CISA ve FBI, ABD kuruluşlarını uyardı. Ukrayna’ya yönelik veri silme saldırıları yanlışlıkla diğer ülkelerin ağlarına yayılabilir.
Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC) araştırmacılar ayrıca Ukrayna’yı hedefleyen kötü amaçlı yazılım saldırılarını gözlemlediklerini ve HermeticWiper’ı tespit ettiklerini bildirdiler. (FoxBlade olarak takip ettikleri).
Microsoft Başkanı ve Başkan Yardımcısı Brad Smith, Ukraynalı kuruluşlara karşı devam eden bu siber saldırıların “tam olarak hedef alındığını” söyledi.
Bu, daha sonra gerçekleşen 2017 NotPetya dünya çapındaki saldırısı sırasında Ukrayna’nın ve diğer ülkelerin ağlarını ve ekonomilerini etkileyen ayrım gözetmeyen kötü amaçlı yazılım saldırılarıyla tezat oluşturuyor. Sandworm ile bağlantılı, bir Rus GRU Ana İstihbarat Müdürlüğü bilgisayar korsanlığı grubu.
Bu yıkıcı saldırılar bir “devasa hibrit savaş dalgası“Ukrayna Güvenlik Servisi (SSU) tarafından savaş başlamadan hemen önce yayınlanan bir basın açıklamasına göre.
Yeni ortaya çıkarılan IsaacWiper veri sileceği ve HermeticWizard solucanı hakkında daha fazla teknik bilgiyi, uzlaşma göstergeleriyle birlikte şurada bulabilirsiniz: ESET Araştırma Laboratuvarları raporu.