Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении двух новых семейств вредоносных программ для уничтожения информации, нацеленных на украинские организации. Первая кибератака началась за несколько часов до вторжения российских войск в Украину, а также после DDoS-атак на украинские сайты правительства, министерств, банков и многие другие критически важные структуры в начале того же дня.
Во время этих разрушительных атак злоумышленники использовали, по меньшей мере, три компонента:
- HermeticWiper для уничтожения информации,
- HermeticWizard для распространения в локальной сети,
- приманка-вымогатель HermeticRansom.
Элементы вредоносного программного обеспечения указывают на то, что атаки планировались в течение нескольких месяцев.
После начала российского вторжения в Украину началась вторая разрушительная атака на украинскую правительственную сеть с использованием программы IsaacWiper для уничтожения информации.
«Относительно IsaacWiper мы сейчас анализируем его связи с HermeticWiper. Важно отметить, что эта вредоносная программа была зафиксирована в сети украинской государственной организации, не пострадавшей от HermeticWiper», ― рассказывает Жан-Ян Бутен, руководитель исследовательской лаборатории ESET.
Исследователи ESET с высокой уверенностью отмечают, что пострадавшие организации были скомпрометированы задолго до развертывания угроз для уничтожения информации. «Это основывается на нескольких фактах: самая старая отметка времени PE компиляции HermeticWiper – 28 декабря 2021 года, а дата выдачи сертификата подписи кода – 13 апреля 2021 года. Помимо этого, развертывание HermeticWiper через политику по умолчанию по меньшей мере в одном случае свидетельствует о том, что злоумышленники имели предварительный доступ к одному из серверов Active Directory этой жертвы», ― отмечает Жан-Ян Бутен.
По данным телеметрии ESET, вредоносная программа IsaacWiper была зафиксирована 24 февраля 2022 года. Старейшая отметка времени компиляции PE датируется 19 октября 2021 года. Это означает, что если его отметка времени компиляции PE не была изменена, IsaacWiper мог использоваться во время предыдущих операций месяцами ранее.
В ходе исследования HermeticWiper специалисты ESET обнаружили элементы перемещения внутри организаций, которые являлись целями атаки, а также то, что злоумышленники, вероятно, получили контроль над сервером Active Directory. Специальный червь HermeticWizard использовался для распространения программы для уничтожения информации в скомпрометированных сетях. В случае с вредоносной программой IsaacWiper злоумышленники использовали инструмент удаленного доступа RemCom, а также, возможно, Imppacket для перемещения внутри сети.
Кроме этого, HermeticWiper удаляет данные о себе с диска, перезаписывая свой файл случайными байтами. Этот метод, вероятно, направлен на предотвращение анализа вредоносной программы после инцидента. Программа-вымогатель HermeticRansom, которая использовалась в качестве приманки, была развернута одновременно с HermeticWiper для скрытия действий программы для уничтожения информации.
Через день после развертывания IsaacWiper киберпреступники выпустили новую версию с журналами налаживания. Это может свидетельствовать о том, что злоумышленники не смогли уничтожить данные на некоторых рабочих станциях и добавили сообщение журнала, чтобы понять, что происходит.
Исследователям ESET пока не удалось связать эти атаки с какими-либо известными угрозами из-за отсутствия значительного сходства с другими образцами вредоносных программ.
Стоит отметить, что термин «Hermetica» происходит от Hermetica Digital Ltd, названия кипрской компании, которой был выдан сертификат подписи кода. Согласно данным Reuters, этот сертификат не был похищен у Hermetica Digital. В то же время, вероятно, злоумышленники выдавали себя за кипрскую компанию для получения сертификата от DigiCert. После получения информации исследователи ESET направили запрос к компании-эмитенту DigiCert для немедленной отмены сертификата. Благодаря этому 24 февраля сертификат был отозван.
В связи с опасностью других атак на украинских пользователей специалисты ESET сегодня как никогда настоятельно рекомендуют придерживаться основных правил кибербезопасности, а именно использовать надежные решения, которые способные обеспечить многоуровневую защиту корпоративных сетей, и системы обнаружения и реагирования, которые помогут обнаружить кибератаку на начальной стадии.
В частности, пользователям продуктов ESET рекомендуется включить такие функции, как Расширенный сканер памяти, Защита от эксплойтов и программ-вымогателей, настроить правила HIPS и брандмауэра и всегда использовать актуальные версии всех приложений и операционных систем на устройствах.
Более подробная информация об атаках доступна по ссылке.
В то время как Украина смело и неутомимо противостоит врагу, специалисты службы технической поддержки ESET в Украине продолжают оказывать круглосуточную помощь пользователям по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.