В Україні виявили нові сімейства шкідливих програм для знищення інформації, націлених на українські організації, повідомляють у міжнародній компанії з розробки антивірусного програмного забезпечення ESET.
Перша кібератака на Україну почалася за кілька годин до вторгнення російських військ, а також після DDoS-атак на українські сайти уряду, міністерств, банків і багато інших критично важливих структур на початку того ж дня.
Під час цих руйнівних атак зловмисники використовували, щонайменше, три компоненти:
- HermeticWiper для знищення інформації,
- HermeticWizard для розповсюдження в локальній мережі,
- приманку-вимагач HermeticRansom.
Елементи шкідливого програмного забезпечення вказують на те, що атаки планувалися протягом декількох місяців.
Після початку російського вторгнення в Україну почалася друга руйнівна атака на українську урядову мережу з використанням програми IsaacWiper для знищення інформації.
У компанії ESET припускають, що постраждалі організації були скомпрометовані задовго до розгортання загроз для знищення інформації.
В ході дослідження HermeticWiper фахівці з кібербезпеки виявили елементи переміщення всередині організацій, які були цілями атаки, а також те, що зловмисники, ймовірно, отримали контроль над сервером Active Directory. Спеціальний черв'як HermeticWizard використовувався для поширення програми для знищення інформації в скомпрометованих мережах. У випадку з шкідливою програмою IsaacWiper зловмисники використовували інструмент віддаленого доступу RemCom, а також, можливо, Imppacket для переміщення всередині мережі.
Крім цього, HermeticWiper видаляє дані про себе з диска, перезаписуючи свій файл випадковими байтами. Цей метод, ймовірно, спрямований на запобігання аналізу шкідливої програми після інциденту. Програма-вимагач HermeticRansom, яка використовувалася в якості приманки, була розгорнута одночасно з HermeticWiper для приховування дій програми для знищення інформації.
Через день після розгортання IsaacWiper кіберзлочинці випустили нову версію з журналами налагодження. Це може свідчити про те, що зловмисники не змогли знищити дані на деяких робочих станціях і додали повідомлення журналу, щоб зрозуміти, що відбувається.
Дослідникам ESET поки не вдалося пов'язати ці атаки з будь-якими відомими загрозами через відсутність значної схожості з іншими зразками шкідливих програм.
У зв'язку з небезпекою інших атак на українських користувачів фахівці ESET сьогодні як ніколи настійно рекомендують дотримуватися основних правил кібербезпеки, а саме: використовувати надійні рішення, які здатні забезпечити багаторівневий захист корпоративних мереж, і системи виявлення і реагування, які допоможуть виявити кібератаку на початковій стадії.
