Trình xóa dữ liệu mới thứ hai “IssacWiper” nhắm vào Ukraine sau cuộc xâm lược của Nga

Phát hiện một mã độc xóa dữ liệu mới được triển khai chống lại một mạng lưới giấu tên của chính phủ Ukraine, một ngày sau khi các cuộc tấn công mạng nhắm vào các mục tiêu ở nước này trước khi Nga bắt đầu cuộc xâm lược.



Công ty an ninh mạng ESET của Slovakia đặt tên cho mã độc mới là “ IsaacWiper “. Mã độc này được phát hiện vào ngày 24 tháng 2 trong một tổ chức không bị ảnh hưởng bởi HermeticWiper (hay còn gọi là FoxBlade). HermeticWiper là một mã độc xóa dữ liệu khác nhắm vào một số tổ chức vào ngày 23 tháng 2 như một phần của một chiến dịch phá hoại với mục đích vô hiệu hóa các máy tính này.



Các phân tích sâu hơn về các cuộc tấn công HermeticWiper, đã lây nhiễm cho ít nhất 5 tổ chức của Ukraine, đã phát hiện ra một loại sâu (worm) lan truyền mã độc thông qua mạng lưới đã bị xâm nhập và một mô-đun ransomware hoạt động để “đánh lạc hướng khỏi các cuộc tấn công của trình xóa dữ liệu”. Điều này chứng thực một báo cáo trước đó từ Symantec.



Công ty này cho biết: “Các cuộc tấn công phá hoại này sử dụng ít nhất ba thành phần: HermeticWiper để xóa dữ liệu, HermeticWizard để phát tán trên mạng cục bộ và HermeticRansom hoạt động như một ransomware đánh lạc hướng”.



Trong một phân tích riêng về loại ransomware mới được dựa trên Golang, công ty an ninh mạng Kaspersky của Nga đã đặt tên cho mã độc này là “Elections GoRansom”. Họ mô tả nó như là một chiến dịch vào phút chót, cho biết thêm rằng nó “có thể được sử dụng để che giấu cho cuộc tấn công HermeticWiper do phong cách đơn giản và triển khai kém”.



HermeticWiper cũng được thiết kế để cản trở việc phân tích bằng cách tự xóa khỏi ổ đĩa bằng cách ghi đè lên tệp file của chính nó bằng các byte ngẫu nhiên.



ESET cho biết họ hiện chưa thể tìm thấy “bất kỳ liên kết nào” của các cuộc tấn công này với các tin tặc đã biết. Tuy nhiên các thành phần của mã độc được phát hiện cho đến nay cho thấy rõ ràng rằng các cuộc xâm nhập đã được lên kế hoạch trong vài tháng, với việc mục tiêu đều đã từng bị xâm nhập trước cả khi trình xóa dữ liệu được triển khai.



Jean-Ian Boutin, trưởng bộ phận nghiên cứu mối đe dọa của ESET cho biết: “Điều này dựa trên một số sự kiện như sau: đầu tiên là dấu thời gian của HermeticWiper PE. Dấu thời gian cũ nhất là từ ngày 28/12/2021, ngày cấp chứng chỉ mã là ngày 13/4/2021 và việc triển khai HermeticWiper thông qua chính sách tên miền mặc định trong cho thấy những kẻ tấn công đã có quyền truy cập trước vào một trong các máy chủ Active Directory của nạn nhân đó”.



Một điểm chưa rõ khác là các vectơ truy cập ban đầu được sử dụng để triển khai cả hai trình xóa dữ liệu. Tuy nhiên có những nghi ngờ rằng những kẻ tấn công đã sử dụng các công cụ như Impacket và RemCom, một phần mềm truy cập từ xa để di chuyển và phát tán mã độc.



Ngoài ra, IsaacWiper không có sự trùng lặp code với HermeticWiper và về cơ bản nó ít phức tạp hơn, ngay cả khi nó bắt đầu liệt kê tất cả các ổ đĩa vật lý và logic trước khi tiến hành các hoạt động xóa dữ liệu của mình.



Các chuyên gia cho biết: “Vào ngày 25/2/2022, những kẻ tấn công đã phát tán phiên bản mới của IsaacWiper kèm với debug log. Điều này có thể chỉ ra rằng những tin tặc đã không thể xóa sạch dữ liệu của một số mục tiêu và thêm các nhật ký (log) vào để có thể hiểu điều gì đang xảy ra”.



Theo Thehackernews
The post Trình xóa dữ liệu mới thứ hai “IssacWiper” nhắm vào Ukraine sau cuộc xâm lược của Nga appeared first on SecurityDaily .