Более 100 дней войны: как Украина противостояла атакам на киберфронте

Компания ESET ― лидер в области информационной безопасности ― проанализировала ситуацию в киберпространстве с начала вторжения россии в Украину до сегодняшнего дня. В частности, за этот период украинские организации стали целью атак многих вредоносных программ. Преимущественно угрозы нацеливались на уничтожение данных, вероятно, с целью ухудшения реагирования на вторжение россии.

Кроме того, хакеры попытались атаковать энергетический сектор Украины с помощью развертывания уникального программного обеспечения на высоковольтной электрической подстанции.

С чего все началось

13 января 2022 года ряд украинских государственных учреждений, неправительственных организаций и ИТ-компаний оказались под прицелом вредоносной программы WhisperGate. По данным Microsoft, угроза выглядит как программа-вымогатель и не имеет механизма восстановления после блокировки, а ее настоящая цель ― сделать устройства нерабочими. Это может указывать на связь угрозы с государственными структурами агрессора, а не с группами киберпреступников.

На следующее утро веб-ресурсы многих государственных учреждений стали целью атак злоумышленников, в частности, на этих сайтах появились антиукраинские изображения и сообщения. Перед вторжением государственные и частные организации продолжали быть мишенью киберпреступников, включая атаки на отказ в обслуживании (DDoS), которые нарушили работу нескольких важных веб-сайтов в Украине. В то же время клиенты одного украинского банка получали SMS-сообщения о фальшивых сбоях в работе банкоматов банка.

Что происходило в первые часы вторжения

Кибератаки в январе и начале февраля 2022 года были только началом. Вечером 23 февраля после ряда DDoS-атак на украинские веб-сайты специалисты ESET обнаружили новую угрозу HermeticWiper для уничтожения данных на сотнях машин в нескольких организациях в Украине. В то время как временная метка показывает, что вредоносное программное обеспечение было создано 28 декабря 2021 года. Поэтому можно предположить, что атака могла готовиться в течение некоторого времени.

В некоторых случаях одновременно с HermeticWiper использовалась программа-вымогатель HermeticRansom. Впервые о HermeticRansom стало известно утром 24 февраля. Программа-вымогатель использовалась как приманка, пока угроза HermeticWiper для уничтожения данных наносила ущерб.

В день, когда произошло военное вторжение россии в Украину, исследователи ESET заметили другую вредоносную программу для уничтожения данных в украинских системах ― IssacWiper. В частности, угроза была менее сложной и не имела сходств с HermeticWiper.

Активизация кибератак для уничтожения данных в организациях Украины. ESET.

Рис. 1. Сообщение о выкупе во вредоносной программе HermeticWiper.

Какими были следующие месяцы

Исследователи ESET считают, что различные атаки программ для уничтожения данных, включая обнаруженную 14 марта CaddyWiper, были направлены на конкретные организации с целью ухудшить их реагирование на вторжение. Киберпреступники были нацелены на финансовый, медиа и государственный секторы. Специалисты ESET обнаружили связь угроз HermeticWiper и CaddyWiper с группой Sandworm, которую США идентифицировали как часть российской военной разведки.

Эта же известная группа киберпреступников была причастна к попытке развертывания Industroyer2 на высоковольтной электрической подстанции в Украине, разоблачение которого было вовремя осуществлено благодаря сотрудничеству ESET с CERT-UA. Вредоносное программное обеспечение является новой версией угрозы Industroyer, которая использовалась для атаки на украинскую электросеть еще в 2016 году.

Кроме этого, происходили и другие виды вредоносной деятельности, включая DDoS-атаки, которые повлекли за собой сбои в работе медиа-ресурсов, неправительственных организаций и телекоммуникационных провайдеров, а также государственных учреждений.

Российская военная разведка координировала атаки киберпреступников на Украину.

Рис. 2. Атаки, обнаруженные исследователями ESET до и после вторжения россии в Украину.

Как мошенники наживаются на войне в Украине

Киберпреступники во всем мире используют тему войны в Украине в своих схемах, в частности, создавая фальшивые сайты и отправляя вредоносные спам-листы. Сразу после начала войны специалисты ESET обнаружили ряд поддельных ресурсов, на которых мошенники под видом фальшивых благотворительных организаций выманивали пожертвования для поддержки Украины.

Также, по данным ESET, было зафиксировано увеличение атак на криптовалютные платформы и распространение вредоносных программ, связанных с криптовалютой. Такой рост вызвал популярность цифровой валюты среди пользователей, которая стала распространенным способом оплаты и отправки денежных средств.

В соответствии с рейтингом киберугроз, первые месяцы этого года показывают разрушительную силу кибератак, которые происходят параллельно с военным вторжением. При этом кибератаки направлены не только на государственные учреждения, но и на компании и обычных пользователей в Украине.

Именно поэтому специалисты ESET рекомендуют соблюдать основные правила онлайн-безопасности, в том числе избегать перехода по подозрительным ссылкам и загрузки вложенных файлов, проверять информацию перед отправкой денег и использовать надежные решения для защиты устройств.

Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу sales@eset.ua.

 

Читайте также:

Safetica предоставляет украинским компаниям бесплатные лицензии на DLP-решение

Рейтинг Интернет-угроз: влияние войны в Украине и самые активные вредоносные программы