Το νέο data-wiping ransomware που επηρέασε δίκτυα της Ουκρανίας την Τετάρτη, λίγο πριν την εισβολή της Ρωσίας στη χώρα, συνοδευόταν σε ορισμένες περιπτώσεις, από ένα δόλωμα ransomware που βασίζεται στο GoLang.
Δείτε επίσης: Ransomware: Τα θύματα πληρώνουν αλλά οι χάκερ επιστρέφουν για περισσότερα
“Σε πολλές επιθέσεις που έχει ερευνήσει η Symantec μέχρι σήμερα, το ransomware αναπτύχθηκε επίσης εναντίον επηρεαζόμενων οργανισμών. Όπως και με το data-wiping, χρησιμοποιήθηκαν προγραμματισμένες εργασίες για την ανάπτυξη του ransomware“, αποκάλυψε η Symantec.
“Φαίνεται πιθανό ότι το ransomware χρησιμοποιήθηκε ως δόλωμα ή απόσπαση της προσοχής από τις επιθέσεις data-wiping. Έχει κάποιες ομοιότητες με τις προηγούμενες επιθέσεις WhisperGate κατά της Ουκρανίας, όπου το data-wiping μεταμφιέστηκε ως ransomware.“
Το δόλωμα ransomware εμφάνιζε επίσης ένα σημείωμα λύτρων στα παραβιασμένα συστήματα, με ένα πολιτικό μήνυμα που έλεγε ότι “Το μόνο πράγμα που μαθαίνουμε από τις νέες εκλογές είναι ότι δεν μάθαμε τίποτα από τα παλιά!“
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
RT-G Robot: Νέα Εποχή στην Καταπολέμηση Εγκλήματος
Το σημείωμα για τα λύτρα καθοδηγεί τα θύματα να απευθυνθούν σε δύο διευθύνσεις ηλεκτρονικού ταχυδρομείου, vote2024forjb@protonmail.com και stephanie.jones2024@protonmail.com, για να λάβουν πίσω τα αρχεία τους.
Δείτε ακόμα: Ουκρανία: Υπουργείο Άμυνας, Στρατός και τράπεζες δέχονται DDoS επιθέσεις
Το data-wiping, που ονομάστηκε HermeticWiper από τον κύριο ερευνητή απειλών της SentinelOne, Juan Andres Guerrero-Saade, πραγματοποίησε επιθέσεις σε ουκρανικούς οργανισμούς και κατέληξε επίσης σε συστήματα εκτός των συνόρων της Ουκρανίας.
Οι στόχοι που επλήγησαν από επιθέσεις με το data-wiping περιλάμβαναν επίσης χρηματοοικονομικούς και κυβερνητικούς εργολάβους από την Ουκρανία, τη Λετονία και τη Λιθουανία, όπως είπε ο Vikram Thakur, Τεχνικός Διευθυντής της Symantec Threat Intelligence.
Ενώ οι επιθέσεις στον κυβερνοχώρο σημειώθηκαν χθες, η εταιρεία κυβερνοασφάλειας ESET σημείωσε ότι το κακόβουλο λογισμικό HermeticWiper είχε ημερομηνία συλλογής την 28η Δεκεμβρίου 2021, κάτι που υποδηλώνει ότι οι επιθέσεις είχαν σχεδιαστεί.
Η Symantec βρήκε στοιχεία ότι οι εισβολείς αποκτούσαν πρόσβαση στα δίκτυα των θυμάτων πολύ νωρίτερα, εκμεταλλευόμενοι ευπάθειες του Microsoft Exchange ήδη από τον Νοέμβριο του 2021 και εγκαθιστώντας web shells πριν αναπτύξουν το κακόβουλο λογισμικό.
Δείτε επίσης: Όλο και περισσότερες οι DDoS επιθέσεις που ζητούν λύτρα
Το κακόβουλο λογισμικό χρησιμοποιεί προγράμματα drive EaseUS Partition Manager για να καταστρέψει τα αρχεία των παραβιασμένων συσκευών πριν από την επανεκκίνηση του υπολογιστή. Όπως διαπίστωσε επίσης ο ερευνητής ασφαλείας Silas Cutler, το data-wipping απορρίπτει το Master Boot Record της συσκευής, καθιστώντας όλες τις μολυσμένες συσκευές unbootable.
Οι επιθέσεις DDoS και κακόβουλου λογισμικού αυτού του μήνα, ακολουθούν ένα δελτίο τύπου από την Υπηρεσία Ασφαλείας της Ουκρανίας (SSU), που λέει ότι η χώρα είναι στόχος ενός «μαζικού κύματος υβριδικού πολέμου».