Resim: Artem Kniaz
Rusya’nın bugün erken saatlerde Ukrayna’yı işgal etmesinden hemen önce Çarşamba günü Ukrayna ağlarına yıkıcı saldırılarda yerleştirilen yeni veri silecek kötü amaçlı yazılıma, bazı durumlarda GoLang tabanlı bir fidye yazılımı tuzağı eşlik etti.
Symantec, “Symantec’in bugüne kadar araştırdığı çeşitli saldırılarda, etkilenen kuruluşlara karşı silecekle aynı anda fidye yazılımı da dağıtıldı. Silecekte olduğu gibi, fidye yazılımını dağıtmak için zamanlanmış görevler kullanıldı.” bugün ortaya çıktı.
“Fidye yazılımının, silecek saldırılarından bir tuzak veya dikkat dağıtmak için kullanılmış olması muhtemel görünüyor. Bunun, sileceğin fidye yazılımı olarak gizlendiği Ukrayna’ya yönelik daha önceki WhisperGate silecek saldırılarına bazı benzerlikleri var.”
Fidye yazılımı tuzağı ayrıca, “Yeni seçimlerden öğrendiğimiz tek şey, eskisinden hiçbir şey öğrenmediğimizdir!” diyen siyasi bir mesajla birlikte, güvenliği ihlal edilmiş sistemlere bir fidye notu bıraktı.
Fidye notu, kurbanların iki e-posta adresine (ör. oy2024forjb@protonmail.com ve stephanie.jones2024@protonmail.com) dosyalarını geri almak için.

silecek, dublajlı HermetikSilecek SentinelOne araştırmacısı JA Guerrero-Saade tarafından, dün Ukraynalı kuruluşları hedef alan saldırılarda düşürüldü ve aynı zamanda Ukrayna sınırları dışındaki sistemlere de ulaştı.
Silici saldırıların vurduğu hedefler arasında Ukrayna, Letonya ve Litvanya’dan finans ve hükümet müteahhitleri de vardı; Symantec Threat Intelligence Teknik Direktörü Vikram Thakur, BleepingComputer’a anlattı.
HermeticWiper silecek
Siber saldırılar dün gerçekleşirken, siber güvenlik firması ESET, HermeticWiper kötü amaçlı yazılımının derleme tarihinin 28 Aralık 2021 olduğunu ve bu da saldırıların planlandığını ima ettiğini kaydetti.
Symantec, saldırganların Kasım 2021 gibi erken bir tarihte Microsoft Exchange güvenlik açıklarından yararlanarak ve silecek kötü amaçlı yazılımı dağıtmadan önce web kabukları yükleyerek kurbanların ağlarına önceden erişim sağladıklarına dair kanıtlar buldu.
Örneğin, Symantec, “Litvanya’daki bir organizasyonun güvenliğinin en az 12 Kasım 2021’den itibaren ele geçirildiğini” söyledi.
Silecek kötü amaçlı yazılımı, bilgisayarı yeniden başlatmadan önce güvenliği ihlal edilmiş cihazların dosyalarını bozmak için EaseUS Partition Manager sürücülerini kullanır. güvenlik araştırmacısı olarak silas kesici ayrıca bulundu, veri sileceği de cihazın Ana Önyükleme Kaydı’nı çöpe atarvirüslü tüm cihazları önyüklenemez hale getiriyor.
Bu, yılın başından beri Ukrayna ağlarına karşı kullanılan ikinci veri sileceğiydi. Microsoft’un Ocak ayında açıkladığı gibi, yıkıcı bir veri silme kötü amaçlı yazılımı WhisperGate olarak adlandırılan ve fidye yazılımı olarak kamufle edilen, Ukraynalı kuruluşları hedef alan saldırılarda kullanıldı.
Tıpkı HermeticWiper gibi, WhisperGate de dosyaları bozmak ve güvenliği ihlal edilmiş cihazların Master Boost Kayıtlarını silmek için kullanıldı, bu da işletim sistemine önyükleme yapmayı veya sabit sürücüde depolanan dosyalara erişmeyi imkansız hale getirdi.
Dün Ukrayna’ya yapılan saldırılarla ilgili henüz bir açıklama yapılmadı.
Dünün kötü amaçlı yazılım saldırıları bir araya geldi Ukrayna devlet kurumlarına yönelik DDoS saldırıları ve devlet bankaları, geçen hafta kullanılana benzer benzer DDoS kesintileri Ukrayna hükümet sitelerini ve bankalarını etkiledi.
Çarşamba saldırılarına atıfta bulunulmasa da, Beyaz Saray geçen haftaki DDoS saldırılarını birbirine bağladı Rusya’nın Silahlı Kuvvetler Genelkurmay Başkanlığı’na (GRU olarak da bilinir).
Veri siliciler, geçmişte Rus devlet destekli bilgisayar korsanlığı grupları tarafından da sıklıkla kullanılan bir araç olmuştur. Binlerce Ukraynalı işletmeyi vuran bir silecek saldırısı NotPetya fidye yazılımı ile 2017’de ABD tarafından üç yıl sonra Rus GRU bilgisayar korsanlarıyla ilişkilendirildi.
2020 yılında Rus GRU bilgisayar korsanları Sandworm olarak bilinen elit Rus hack grubunun bir parçası olduğuna inanılan ABD tarafından resmen suçlandı NotPetya saldırıları için.
Bu ayki DDoS ve kötü amaçlı yazılım saldırıları, Ukrayna Güvenlik Servisi’nin (SSU) ülkenin hedefi olduğunu belirten bir basın açıklamasının ardından “devasa hibrit savaş dalgası.“