Εταιρείες κυβερνοασφάλειας ανακάλυψαν ένα data-wiping malware που χρησιμοποιείται σε επιθέσεις εναντίον δικτύων στην Ουκρανία, τη στιγμή που η Ρωσία στέλνει στρατεύματα σε περιοχές της χώρας.

Το data-wiping malware είναι κακόβουλο λογισμικό που καταστρέφει σκόπιμα δεδομένα σε μια συσκευή. Στόχος είναι να γίνουν τα δεδομένα μη ανακτήσιμα και να μην λειτουργεί σωστά το λειτουργικό σύστημα.

Δείτε επίσης: Το ransomware Entropy συνδέεται με το Dridex malware downloader

Πριν μερικές ώρες, κυβερνητικές υπηρεσίες και τράπεζες της Ουκρανίας δέχθηκαν ξανά επιθέσεις DdoS, με αποτέλεσμα πολλά sites να βρεθούν εκτός σύνδεσης.

Αμέσως μετά, οι εταιρείες κυβερνοασφάλειας Symantec και ESET αποκάλυψαν ότι βρήκαν ένα νέο καταστροφικό data-wiping malware που χρησιμοποιείται επίσης σε κυβερνοεπιθέσεις εναντίον ουκρανικών οργανισμών.

Η Symantec μοιράστηκε το hash του νέου malware στο Twitter, το οποίο εκείνη τη στιγμή ανιχνευόταν μόνο από 16/70 μηχανές ασφαλείας στο VirusTotal.

Δείτε επίσης: LockBit & Conti: Τα πιο ενεργά ransomware στον βιομηχανικό τομέα

Οι ερευνητές ανακάλυψαν νέες επιθέσεις με τέτοιο malware στην Ουκρανία, τη Λετονία και τη Λιθουανία. Στους στόχους περιλαμβάνονται οικονομικοί και κυβερνητικοί εργολάβοι, σύμφωνα με τον Vikram Thakur, στέλεχος της Symantec Threat Intelligence.

Η ESET δημοσίευσε επίσης ένα λεπτομερές thread στο Twitter που περιέχει μια τεχνική ανάλυση του data-wiping malware. Σύμφωνα με την εταιρεία, το νέο αυτό malware ανιχνεύεται ως Win32/KillDisk.NCV και έχει αναπτυχθεί σε εκατοντάδες συσκευές σε δίκτυα της Ουκρανίας.

Οι επιθέσεις εντοπίστηκαν τις τελευταίες ώρες, αλλά η ESET σημειώνει ότι το κακόβουλο λογισμικό δημιουργήθηκε στις 28/12/21. Αυτό δείχνει ότι πιθανότατα υπήρχε σχέδιο και προετοιμασία για περίπου δύο μήνες.

Μια ανάλυση από το BleepingComputer έδειξε ότι το data-wiping malware περιέχει τέσσερα ενσωματωμένα drivers που ονομάζονται DRV_X64, DRV_X86, DRV_XP_X64 και DRV_XP_X86, όπως φαίνεται παρακάτω.

Όταν εκτελεστεί το κακόβουλο λογισμικό, το wiper θα εγκαταστήσει ένα από αυτά τα drivers ως νέα υπηρεσία των Windows.

Οι συμβολοσειρές μέσα στα drivers υποδεικνύουν ότι ανήκουν στο EASUS Partition Manager program.

  • Disk
  • \Device\Harddisk%u\Partition0
  • \Device\EPMNTDRV
  • \DosDevices\EPMNTDRV

Η ESET πιστεύει ότι αυτά τα EASUS drivers έχουν χρησιμοποιηθεί για να καταστρέψουν τα αρχεία της συσκευής πριν το κακόβουλο λογισμικό επανεκκινήσει τον υπολογιστή.

Η ESET προειδοποίησε ότι σε τουλάχιστον μία από αυτές τις επιθέσεις, δεν στόχευε μεμονωμένους υπολογιστές και αναπτύχθηκε απευθείας από το Windows domain controller. Αυτό δείχνει ότι οι επιτιθέμενοι είχαν πρόσβαση σε αυτά τα δίκτυα για κάποιο χρονικό διάστημα.

Περισσότερες τεχνικές λεπτομέρειες, μπορείτε να βρείτε στην ανάλυση του ερευνητή J. A. Guerrero-Saade της SentinelOne, στο Twitter.

Δείτε επίσης: Οι συσκευές αποθήκευσης δικτύου Asustor πλήττονται από επίθεση ransomware

Είναι το δεύτερο data-wiping malware που έχει στοχεύσει την Ουκρανία

Το malware που ανακάλυψαν οι εταιρείες κυβερνοασφάλειας είναι το δεύτερο data-wiping malware που έχει χρησιμοποιηθεί εναντίον δικτύων στην Ουκρανία τους τελευταίους δύο μήνες.

Τον Ιανουάριο, η Microsoft αποκάλυψε ότι ένα καταστροφικό κακόβουλο λογισμικό αυτής της κατηγορίας, μεταμφιεσμένο ως ransomware, χρησιμοποιήθηκε σε επιθέσεις εναντίον πολλών ουκρανικών οργανισμών. Εκείνο το κακόβουλο λογισμικό ονομάστηκε “WhisperGate” και υποδύθηκε μια επίθεση ransomware, στοχεύοντας ακόμη και συγκεκριμένες επεκτάσεις αρχείων και δείχνοντας ένα σημείωμα λύτρων.

Ωστόσο, στην πραγματικότητα ήταν ένα data-wiping malware που καταστρέφει τα αρχεία και επηρεάζει το Master Boost Record της συσκευής, καθιστώντας αδύνατη την εκκίνηση στα Windows ή την πρόσβαση σε αρχεία.

Ενώ οι επιθέσεις δεν έχουν αποδοθεί στη Ρωσία, αυτά τα malware έχουν χρησιμοποιηθεί από Ρώσους hackers στο παρελθόν.

Πηγή: Bleeping Computer