Окупанти планували кібератаки в Україні за кілька місяців до початку військового вторгнення

В Україні виявили нові сімейства шкідливих програм для знищення інформації, націлених на українські організації, повідомляють у міжнародній компанії з розробки антивірусного програмного забезпечення ESET.

Перша кібератака на Україну розпочалася за кілька годин до вторгнення російських військ, а також після DDoS-атак на українські сайти уряду, міністерств, банків та багато інших критично важливих структур на початку того ж дня.

Під час цих руйнівних атак зловмисники використовували щонайменше три компоненти:

• HermeticWiper для знищення інформації,
• HermeticWizard для розповсюдження в локальній мережі,
• приманку-вимагач HermeticRansom.

Елементи шкідливого програмного забезпечення вказують на те, що атаки планувалися протягом кількох місяців.

Після початку російського вторгнення в Україну розпочалася друга руйнівна атака на українську урядову мережу з використанням програми IsaacWiper для знищення інформації.

У компанії ESET припускають, що постраждалі організації були скомпрометовані задовго до розгортання загроз для знищення інформації.

У ході дослідження HermeticWiper фахівці з кібербезпеки виявили елементи переміщення всередині організацій, які були метою атаки, а також те, що зловмисники, ймовірно, отримали контроль над сервером Active Directory. Спеціальний черв’як HermeticWizard використовувався для поширення програми для знищення інформації в скомпрометованих мережах. У випадку зі шкідливою програмою IsaacWiper зловмисники використовували інструмент віддаленого доступу RemCom, а також, можливо, Imppacket для переміщення всередині мережі.

Крім цього HermeticWiper видаляє дані про себе з диска, перезаписуючи свій файл випадковими байтами. Цей метод, ймовірно, спрямований на запобігання аналізу шкідливої ​​програми після інциденту. Програма-вимагач HermeticRansom, яка використовувалася як приманка, була розгорнута одночасно з HermeticWiper для приховання дій програми для знищення інформації.

Через день після розгортання IsaacWiper кіберзлочинці випустили нову версію із журналами налагодження. Це може свідчити про те, що зловмисники не змогли знищити дані на деяких станціях і додали повідомлення журналу, щоб зрозуміти, що відбувається.

Дослідникам ESET поки не вдалося пов’язати ці атаки з відомими загрозами через відсутність значної подібності з іншими зразками шкідливих програм.

У зв’язку з небезпекою інших атак на українських користувачів фахівці ESET сьогодні як ніколи наполегливо рекомендують дотримуватись основних правил кібербезпеки, а саме: використовувати надійні рішення, які здатні забезпечити багаторівневий захист корпоративних мереж, та системи виявлення та реагування, які допоможуть виявити кібератаку на початковій стадії.