Компанія ESET ― лідер у галузі інформаційної безпеки ― підготувала огляд кібератак на українських користувачів з застосуванням шкідливих програм для знищення даних до та після повномасштабного вторгнення росії в Україну. Більшість цих атак можна віднести до діяльності групи кіберзлочинців Sandworm, раніше відомою своїми атаками на організації в Україні.
Зокрема після російського вторгнення зловмисники почали значно активніше використовувати загрози для знищення даних, спрямовуючи їх на державні установи, банки, інформаційні агентства, логістичні та енергетичні компанії в Україні. При цьому, велику кількість атак вдалося вчасно виявити та зупинити.
Атаки на українські організації до вторгнення
Перед початком вторгнення росії в Україну на додаток до численних хвиль DDoS-атак 14 січня 2022 року на українські установи націлилось шкідливе програмне забезпечення WhisperGate. Загроза для знищення даних маскувалася під програму-вимагач за аналогією з NotPetya у 2017 році ― тактику, яку також можна буде побачити в наступних атаках.
Напередодні вторгнення 23 лютого 2022 року щонайменше п’ять українських організацій стали ціллю іншої програми для знищення даних ― HermeticWiper. Кібератака сталася лише за кілька годин до вторгнення. Окрім HermeticWiper, тоді також було застосовано черв’як HermeticWizard і фальшиву програму-вимагач HermeticRansom.
Нова хвиля кібератак під час вторгнення і в перші місяці війни
24 лютого 2022 року почалася друга руйнівна атака на українську урядову мережу з використанням іншої програми для знищення даних – IsaacWiper. У той же час на модеми Viasat KA-SAT націлилася інша руйнівна загроза AcidRain, яка поширилася і за межі України.
Ще однією програмою з таким функціоналом, яку виявила Microsoft, є DesertBlade, що була запущена 1 березня та знову приблизно 17 березня 2022 року. У звіті також згадується ще про 3 атаки з використанням раніше згаданих HermeticWiper та HermeticRansom протягом березня. Про ще одну програму для знищення даних під назвою DoubleZero повідомив CERT-UA 17 березня.
У той же час 14 березня дослідники ESET виявили атаку за допомогою CaddyWiper, яка була спрямована на український банк. Вже на початку квітня ця загроза була виявлена знову. Цього разу вона поширювалася за допомогою завантажувача ArguePatch, який є модифікованим легітимним двійковим файлом, що використовується для завантаження shell-коду із зовнішнього файлу. Спеціалісти ESET виявили схожий сценарій 16 травня 2022 року, де ArguePatch набув форми модифікованого двійкового файлу ESET.
Дослідники ESET також виявили спільне використання ArguePatch та CaddyWiper 8 квітня під час, ймовірно, наймасштабніших атак групи кіберзлочинців Sandworm з початку вторгнення. Тоді зловмисники зазнали невдачі під час спроби вимкнути електропостачання за допомогою шкідливої програми Industroyer2.
Відносно спокійне літо
За літні місяці в Україні було виявлено менше нових програм для знищення даних порівняно з попередніми періодами, але кілька помітних атак все ж відбулося.
Зокрема спеціалісти ESET спільно з CERT-UA працювали над випадками розгортання вже згаданих раніше завантажувача ArguePatch і програми CaddyWiper для знищення даних в мережах українських установ. Інциденти сталися 20 та 23 червня.
Нова хвиля поширення шкідливих програм восени
Вже 3 жовтня 2022 року спеціалісти ESET виявили в Україні нову версію програми CaddyWiper для знищення даних. На відміну від раніше використаних варіантів, цього разу CaddyWiper був скомпільований як двійковий файл x64 Windows.
5 жовтня на ресурс VirusTotal було завантажено нову версію HermeticWiper. Функціонал цього зразка HermeticWiper був таким самим, як і в попередніх версіях, з кількома незначними змінами.
11 жовтня нова програма-вимагач Prestige націлилася на логістичні компанії в Україні та Польщі. Того ж дня було виявлено раніше невідому програму для знищення даних – NikoWiper. Ця загроза була спрямована на компанію в енергетичному секторі в Україні. NikoWiper базується на утиліті командного рядка SDelete від Microsoft для безпечного видалення файлів.
На початку листопада CERT-UA опублікував матеріал про атаку з використанням фальшивої програми-вимагача Somia. В другій половині місяця спеціалісти ESET виявили в Україні нову програму-вимагач RansomBoggs, написану на платформі .NET. Загроза містила кілька згадок фільму «Корпорація монстрів». Зловмисники використовували сценарії POWERGAP для розгортання цієї програми-вимагача.
Перший місяць 2023 року: атаки тривають
У новому році атаки на українські організації подовжилися. Зокрема вже 1 січня спеціалісти ESET виявили запуск утиліти SDelete, націленої на українського реселера програмного забезпечення.
Чергова атака з використанням кількох програм для знищення даних, цього разу на українське інформаційне агентство, сталася 17 січня 2023 року відповідно до інформації CERT-UA. Під час цієї атаки було виявлено такі програми з функціоналом знищення даних: CaddyWiper, ZeroWipe, SDelete, AwfulShred і BidSwipe, при цьому остання була націлена на операційну систему FreeBSD.
25 січня спеціалісти ESET виявили нову програму для знищення даних, написану на Go та названу SwiftSlicer, яка спрямовувалася на українські установи місцевого самоврядування.
Майже у всіх вищезазначених випадках група кіберзлочинців Sandworm використовувала групову політику Active Directory для розгортання своїх загроз з функціоналом знищення даних і програм-вимагачів, зокрема за допомогою сценарію POWERGAP.
Підсумок
Російські APT-групи, особливо Sandworm, використовували загрози для знищення даних, зокрема і замасковані під програми-вимагачі, для атак українських організацій і до повномасштабного вторгнення. Приблизно з 2014 року шкідлива програма BlackEnergy використовула плагіни з функціоналом видалення даних, а програма для знищення інформації KillDisk часто використовувалася Sandworm у минулому. Крім цього, підгрупа кіберзлочинців Telebots здійснила численні атаки програм-вимагачів, найбільш відомою з яких є NotPetya.
Тим не менш, посилене використання таких загроз після повномасштабного вторгнення в лютому 2022 року було безпрецедентним. Варто зазначити, що багато атак було виявлено та зупинено. Спеціалісти ESET продовжують пильно стежити за ситуацією у кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки, оскільки, ймовірно, подальші атаки продовжаться.
Варто зазначити, що дослідницькі центри ESET працюють цілодобово, щоб забезпечити всебічний захист користувачів. Зокрема протягом року спеціалісти ESET неодноразово активно допомагали у виявленні, знешкоджені та розслідуванні кіберінцидентів, спрямованих на українські організації та користувачів.
Крім цього, компанія ESET на додаток до раніше виділених коштів надасть допомогу Україні у розмірі 500 000 євро. При цьому, 200 000 євро з цієї суми буде передано фонду Integra для надання термінової гуманітарної допомоги Україні.