| +11 голос |
|
Огляд кібератак на українські установи та організації із застосуванням шкідливих програм для знищення даних впродовж першого року повномасштабного російського вторгнення підготували спеціалісти компанії Eset. Більшість цих атак можна віднести до діяльності групи кіберзлочинців Sandworm, відомої й раніше своїми атаками на користувачів в Україні. Зокрема після російського вторгнення зловмисники почали значно активніше використовувати загрози для знищення даних, спрямовуючи їх на державні установи, банки, інформаційні агентства, логістичні та енергетичні компанії.
Перед початком повномасштабного вторгнення росії в Україну на додаток до численних хвиль DDoS-атак 14 січня 2022 року на українські установи націлилось шкідливе програмне забезпечення WhisperGate. Загроза для знищення даних маскувалася під шифрувальника за аналогією з NotPetya у 2017 році – тактика, яку також можна буде побачити в наступних атаках.
Напередодні вторгнення 23 лютого щонайменше п’ять українських організацій стали ціллю іншої програми для знищення даних – HermeticWiper. Кібератака сталася лише за кілька годин до вторгнення. Окрім HermeticWiper, тоді також було застосовано хробак HermeticWizard і фальшиву програму-вимагач HermeticRansom.
24 лютого 2022 року почалася друга руйнівна атака на українську урядову мережу з використанням іншої програми для знищення даних – IsaacWiper. В той самий час на модеми Viasat KA-SAT націлилася інша руйнівна загроза AcidRain, яка поширилася і за межі України.
Ще однією програмою з таким функціоналом, яку виявила Microsoft, є DesertBlade, що була запущена 1 березня та знову приблизно 17 березня. У звіті також згадується ще про три атаки з використанням раніше згаданих HermeticWiper та HermeticRansom протягом березня. Про ще одну програму для знищення даних під назвою DoubleZero повідомив CERT-UA 17 березня.
Водночас 14 березня дослідники Eset виявили атаку за допомогою CaddyWiper, яка була спрямована на український банк. Вже на початку квітня ця загроза була виявлена знову. Цього разу вона поширювалася за допомогою завантажувача ArguePatch, який є модифікованим легітимним двійковим файлом, що використовується для завантаження shell-коду із зовнішнього файлу. Спеціалісти Eset виявили схожий сценарій 16 травня, де ArguePatch набув форми модифікованого двійкового файлу.
Дослідники Eset також виявили спільне використання ArguePatch та CaddyWiper 8 квітня під час, ймовірно, наймасштабніших атак групи кіберзлочинців Sandworm з початку вторгнення. Тоді зловмисники зазнали невдачі під час спроби вимкнути електропостачання за допомогою шкідливої програми Industroyer2.
За літні місяці в Україні було виявлено менше нових програм для знищення даних порівняно з попередніми періодами, але кілька помітних атак все ж відбулося.
Зокрема спеціалісти Eset спільно з CERT-UA працювали над випадками розгортання вже згаданих раніше завантажувача ArguePatch і програми CaddyWiper для знищення даних в мережах українських установ. Інциденти сталися 20 та 23 червня.
Вже 3 жовтня спеціалісти Eset виявили в Україні нову версію програми CaddyWiper для знищення даних. На відміну від раніше використаних варіантів, цього разу CaddyWiper був скомпільований як двійковий файл x64 Windows.
5 жовтня на ресурс VirusTotal було завантажено нову версію HermeticWiper. Функціонал цього зразка HermeticWiper був таким самим, як і в попередніх версіях, з кількома незначними змінами.
11 жовтня нова програма-вимагач Prestige націлилася на логістичні компанії в Україні та Польщі. Того ж дня було виявлено раніше невідому програму для знищення даних – NikoWiper. Ця загроза була спрямована на компанію в енергетичному секторі в Україні. NikoWiper базується на утиліті командного рядка SDelete від Microsoft для безпечного видалення файлів.
На початку листопада CERT-UA опублікував матеріал про атаку з використанням фальшивої програми-вимагача Somia. В другій половині місяця спеціалісти Eset виявили в Україні нову програму-вимагач RansomBoggs, написану на платформі .NET. Загроза містила кілька згадок фільму «Корпорація монстрів». Зловмисники використовували сценарії POWERGAP для розгортання цієї програми-вимагача.
У 2023 році атаки на українські організації подовжилися. Зокрема вже 1 січня спеціалісти Eset виявили запуск утиліти SDelete, націленої на українського реселера програмного забезпечення.
Чергова атака з використанням кількох програм для знищення даних, цього разу на українське інформаційне агентство, сталася 17 січня відповідно до інформації CERT-UA. Під час цієї атаки було виявлено такі програми з функціоналом знищення даних: CaddyWiper, ZeroWipe, SDelete, AwfulShred і BidSwipe, при цьому остання була націлена на операційну систему FreeBSD.
25 січня спеціалісти Eset виявили нову програму для знищення даних, написану на Go та названу SwiftSlicer, яка спрямовувалася на українські установи місцевого самоврядування.
Майже у всіх вищезазначених випадках група кіберзлочинців Sandworm використовувала групову політику Active Directory для розгортання своїх загроз з функціоналом знищення даних і програм-вимагачів, зокрема за допомогою сценарію POWERGAP.
Підсумок
Російські APT-групи, особливо Sandworm, використовували загрози для знищення даних, зокрема і замасковані під програми-вимагачі, для атак українських організацій і до повномасштабного вторгнення. Орієнтовно з 2014 року шкідлива програма BlackEnergy використовула плагіни з функціоналом видалення даних, а програма для знищення інформації KillDisk часто використовувалася Sandworm у минулому. Крім цього, підгрупа кіберзлочинців Telebots здійснила численні атаки програм-вимагачів, найбільш відомою з яких є NotPetya.
Тим не менш, посилене використання таких загроз після повномасштабного вторгнення в лютому 2022 року було безпрецедентним. Варто зазначити, що багато атак було виявлено та зупинено. Фахівці продовжують пильно стежити за ситуацією у кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки, оскільки, ймовірно, подальші атаки продовжаться.
Варто зазначити, що дослідницькі центри Eset працюють цілодобово, щоб забезпечити всебічний захист користувачів. Зокрема протягом року спеціалісти компанії неодноразово активно допомагали у виявленні, знешкоджені та розслідуванні кіберінцидентів, спрямованих на українські організації та користувачів.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
