Siber güvenlik firmaları, Rusya’nın Ukrayna bölgelerine asker göndermesiyle bugün Ukrayna ağlarına yönelik yıkıcı saldırılarda kullanılan yeni bir veri silici buldu.
Veri silici, verileri kurtarılamaz hale getirmek ve işletim sisteminin artık düzgün çalışmaması için bir cihazdaki verileri kasıtlı olarak yok eden kötü amaçlı yazılımdır.
Bu sabah, Ukrayna devlet kurumları ve bankaları DDoS saldırıları ile vurmak web sitelerini çevrimdışına aldı.
Kısa bir süre sonra, siber güvenlik firmaları Symantec ve ESET, bugün Ukraynalı kuruluşlara karşı yapılan siber saldırılarda da kullanılan yeni bir yıkıcı veri silecek kötü amaçlı yazılım bulduklarını açıkladılar.
Symantec, Twitter’da şu anda yalnızca 16/70 güvenlik motorları tarafından algılanan yeni veri sileceklerinin karmasını paylaştı. VirüsToplam.
Symantec Threat Intelligence Teknik Direktörü Vikram Thakur, BleepingComputer’a yaptığı açıklamada, “Symantec Threat Hunter telemetrisine göre, Ukrayna, Letonya ve Litvanya’da yeni silecek saldırıları keşfettiler. Hedefler arasında finans ve devlet müteahhitleri var.”
ESET ayrıca, yeni veri sileceğin teknik analizini ve nasıl kurulduğunu gördüklerini içeren ayrıntılı bir Twitter ileti dizisi yayınladı.
ESET’e göre, yeni veri sileceği Win32/KillDisk.NCV olarak algılandı ve bugün Ukrayna ağlarında yüzlerce cihaza dağıtıldığı görüldü.
Siber saldırılar bugün gerçekleşirken ESET, kötü amaçlı yazılımın 28/12/21 tarihinde derlendiğini ve saldırıların bir süredir planlanmış olabileceğini belirtiyor.
ESET, “Örneklerden birinin PE derleme zaman damgası 2021-12-28’dir, bu da saldırının neredeyse iki aydır hazırlanmakta olabileceğini düşündürmektedir.”
Kötü amaçlı yazılımın BleepingComputer tarafından analizinden, silici aşağıda gösterildiği gibi DRV_X64, DRV_X86, DRV_XP_X64 ve DRV_XP_X86 adlı dört yerleşik sürücü içerir.
Kaynak: BleepingComputer
Bu sürücüler, Windows ‘sıkıştır’ komutu kullanılarak sıkıştırılır, ancak genişletildikten sonra, EASUS veri kurtarma ve disk yönetimi yazılımı geliştiricilerinin sahipleri olan ‘CHENGDU YIWO Tech Development Co., Ltd.’ tarafından imzalanırlar.
Kaynak: BleepingComputer
Kötü amaçlı yazılım yürütüldüğünde, silecek bu sürücülerden birini yeni bir Windows hizmeti olarak yükler.
Kaynak: BleepingComputer
Sürücülerin içindeki dizeler, bunların EASUS Partition Manager programına ait olduğunu gösterir.
Disk
DeviceHarddisk%uPartition0
DeviceEPMNTDRV
DosDevicesEPMNTDRVESET, bu EASUS sürücülerinin, kötü amaçlı yazılım bilgisayarı yeniden başlatmadan önce aygıtın dosyalarını bozmak için birlikte seçildiğine inanıyor.
Güvenlik araştırmacısı silas kesici veri sileceğini de onayladı cihazın Ana Önyükleme Kaydı’nı çöpe atıncihazı önyüklenemez hale getiriyor.
ESET, bu saldırılardan en az birinde, tek tek bilgisayarları hedef almadığı ve doğrudan Windows etki alanı denetleyicisinden dağıtıldığı konusunda uyardı.
Bu, tehdit aktörlerinin bir süredir bu ağlara erişimi olduğunu gösterir.
ESET, “Hedeflenen kuruluşlardan birinde, silecek varsayılan (etki alanı ilkesi) GPO aracılığıyla bırakıldı, bu da saldırganların Active Directory sunucusunun denetimini büyük olasılıkla ele geçirdiği anlamına geliyor” diye açıklıyor.
Daha fazla teknik ayrıntıyla ilgilenenler için SentinelOne araştırmacısını takip edebilirsiniz. JA Guerrero-Saade’in Twitter’daki analizi.
Ukrayna’ya yönelik saldırılarda ikinci silecek kullanıldı
Bu veri silecek, son iki ayda Ukrayna ağlarına karşı kullanılan ikinci veri sileceğidir.
Ocak ayında, Microsoft, yıkıcı bir veri silen kötü amaçlı yazılım olduğunu açıkladı Fidye yazılımı kılığında birden fazla Ukraynalı kuruluşa yönelik saldırılarda kullanıldı.
Ocak ayı veri silicisi ‘WhisperGate’ olarak adlandırıldı ve bir fidye yazılımı saldırısının kimliğine büründü, hatta belirli dosya uzantılarını hedef aldı ve bir fidye notu bıraktı.
Ancak, bu kötü amaçlı yazılım aslında dosyaları bozan ve cihazın Ana Destek Kaydı’nı silerek Windows’a önyükleme yapmayı veya dosyalara erişmeyi imkansız hale getiren yıkıcı bir veri sileceğiydi.
Saldırılar Rusya’ya atfedilmese de, veri siliciler geçmişte Rus devlet destekli tehdit aktörleri tarafından kullanılan bir araçtı.
2017 yılında tehdit aktörlerinin binlerce Ukraynalı işletmeyi hedef aldığı bir veri silme saldırısı gerçekleştirildi. NotPetya fidye yazılımı ile.
2020 yılında, ABD, Rus GRU bilgisayar korsanlarını resmen suçladı NotPetya saldırıları için “Kum kurdu” olarak bilinen seçkin Rus hack grubunun bir parçası olduğuna inanılıyor.
23.02.22 22:04 EST Güncellemesi: Symantec’ten açıklama eklendi.