Jó hír, hogy sok tervezett incidenst sikerült időben felderíteni és megakadályozni. A támadások zöme az orosz Sandworm hackercsoporthoz köthető, de van köztük olyan is, ami a Szörny Rt. animációs filmre utaló hivatkozásokat tartalmaz. 

Tavaly év elején az ukrán intézményeket célzó DDoS-támadások között bukkant fel a WhisperGate adattörlő kártevő program, amelyet a hackerek zsarolóprogramnak álcáztak, felidézve a NotPetya 2017 júniusában történt esetét. Ez a taktika egyébként több, későbbi támadás során is megfigyelhető volt. 

Mindössze néhány órával az orosz invázió kezdete előtt, 2022. február 23-án a HermeticWiper programot vetették be legalább öt ukrán vállalat több száz számítógépes rendszere ellen. A Hermetic Wiper képes letörölni a megfertőzött rendszer minden adatát, a célba vett hálózat számítógépeinek teljes tartalmát és azokat semmilyen módon nem lehet később visszaállítani. Más rosszindulatú kártevőkkel szemben a HermeticWiper valódi célja nem az adatlopás és így az anyagi haszonszerzés, hanem a puszta rombolás: véglegesen megsemmisíteni az adatokat, illetve a szabotázsakció révén leállítani a működő infrastruktúrákat. A HermeticWiper mellett a hackerakcióban a HermeticWizard nevű férget és a HermeticRansom zsaroló kártevőt is felhasználták. A HermeticRansom egy Go nyelven írt ransomware, amelyet szintén Ukrajnában használtak a HermeticWiper kampánnyal egy időben, valószínűleg azért, hogy elrejtsék az adattörlő program kártékony tevékenységét.

hacker3.jpg

Invázió és tavaszi hullám

2022. február 24-én az első orosz csapásokkal egy időben egy másik pusztító támadás is érte Ukrajnát: az IsaacWiper nevű adattörlő egy ukrán kormányzati hálózatot vett célba. A 2022. februárjában megjelenő IsaacWiper egy sokkal kevésbé kifinomult kártevő, amely rekurzív módon véletlenszerű bájtokkal törli a célba vett lemezegységek minden fájlját, működése viszont az elemzések szerint kifejezetten lassú. Az invázió kezdetének napján az AcidRain wiper a Viasat KA-SAT modemek ellen intézett támadást, amelynek hatása Ukrajna határain kívüli területekre is kiterjedt

A kártevő támadása következtében például 5800 németországi Enercon szélturbina nem tudott kommunikálni távfelügyelet vagy vezérlés céljából. A kutatók szerint az AcidRain kódja részleges hasonlóságot mutat egy korábbi másik, 2018-as VPNFilter nevű rosszindulatú programmal. 

Hackerek tavaly március 1-jén és március 17-én is bevetették a Microsoft által felfedezett DesertBlade adattörlőt egy jelentés szerint. A DesertBlade célja szintén az összes elérhető meghajtón található állomány megsemmisítése volt.

A CERT-UA emellett 2022. március 17-én beszámolt a DoubleZero adattörlő kártevő felfedezéséről. Az ESET kutatói március 14-én észleltek egy ukrán bankot célzó támadást is, amely során a CaddyWiper programot használták.

Az először 2022 áprilisában észlelt CaddyWiper egy igen kifinomult kártékony kód, amely igyekszik elrejteni a működését a rendszerfigyelő alkalmazások és biztonsági szoftverek elől. A kutatók úgy találták, hogy ha a kártevőnek sikerül rendszergazdai jogosultságot szereznie, nagyobb pusztítást képes végezni a célba vett meghajtókon.

2022. április 8-án az Industroyer2 nevű kártevő segítségével próbálták megzavarni az ukrán áramellátást, ám sikertelenül. Érdekesség, hogy ebben az incidensben nem Windows platformokhoz használt adattörlőket is felfedeztek, az ORCSHRED-et, a SOLOSHRED-et és az AWFULSHRED-et – ez utóbbiak Linux és Solaris rendszereken futó kártékony kódok.

Egy csendesebb nyár

Bár a nyári hónapokban az azt megelőző időszakhoz képest kevesebb új adattörlő támadást figyeltek meg Ukrajnában, ugyanakkor több figyelemre méltó eset is történt.

Júniusban például az ESET a CERT-UA-val együtt azon dolgozott, hogy megakadályozzák az ArguePatch kártevő (és a CaddyWiper) telepítését ukrán intézmények rendszereire. 

Akciódús őszi hullám

Október 3-án a CaddyWiper új verzióját fedezték fel Ukrajnában, október 5-én pedig az ESET szakértői azonosították a HermeticWiper egy olyan újabb verzióját, amelyet ismeretlenek a VirusTotalra töltöttek fel ellenőrzésképpen, hogy milyen vírusirtó képes azt felismerni. 

Október 11-én a Prestige zsarolóvírust észlelték, amelyet ukrajnai és lengyelországi logisztikai vállalatok ellen vetettek be. Erről az esetről a Microsoft is beszámolt

Ugyanezen a napon az ESET egy korábban ismeretlen adattörlő kártevőt is azonosított, amelyet NikoWipernek neveztek el, és amelyet egy ukrajnai energiaipari vállalat ellen használtak. A NikoWiper a fájlok biztonságos törlésére szolgáló SDelete Microsoft parancssori segédprogramon alapul.

Az ESET kutatói év vége felé, november 21-én is észleltek egy új, .NET-ben írt zsarolóvírust, amelyet RansomBoggsnak neveztek el, mert a kártevő program számos, a Pixar Szörny Rt. című animációs filmjére utaló hivatkozást tartalmaz. 

2023-ban folytatódik minden tovább

2023-ban is folytatódtak az ukrán intézmények elleni hackertámadások. Rögtön 2023. január 1-jén észlelték az SDelete segédprogram futtatását egy ukrán szoftver viszonteladónál.

A CERT-UA információi szerint január 17-én újabb, több törlőprogramot is alkalmazó támadás történt, ezúttal egy ukrán hírügynökség ellen. Az incidens során a CaddyWiper, a ZeroWipe, az SDelete, az AwfulShred és a BidSwipe wipereket is észlelték. A BidSwipe azért is figyelemre méltó, mivel ez egy FreeBSD OS adattörlő program.

Az ESET szakértői január 25-én felfedeztek egy új, Go programozási nyelven írt, SwiftSlicer névre keresztelt wipert, amelyet ukrán önkormányzati intézmények ellen vetettek be.

Az orosz APT-csoportok – különösen a Sandworm – által ukrajnai vállalatok és intézmények ellen elkövetett wiper támadások, valamint a zsarolószoftvereknek álcázott törlőprogramok használata nem újdonság. A BlackEnergy körülbelül 2014 óta alkalmaz pluginokat, a Sandworm korábban több támadást is elkövetett a KillDisk wiperrel, a Telebots csoport pedig számos alkalommal vetette be az egyik legismertebb kártevőt, a NotPetyát.

Az ESET szakértői szerint a jövőben is muszáj ébernek maradni, mivel a támadások folytatódására lehet számítani. A témában Béres Péter, az ESET termékeit forgalmazó Sicontact Kft. IT vezetője a 2022-es ITBN konferencián tartott egy nagysikerű előadást.

Természetesen a kiberbűnözők nem csak Ukrajnára koncentrálnak: az adattörlő támadásokról szóló összefoglaló mellett az ESET kutatói elkészítették az aktuális, globális kártevőjelentésüket is. Ebből kiderül, hogy a zsarolóvírusok észlelése 2021 és 2022 között mintegy 20 százalékkal csökkent. Hogy mi áll a visszaesés mögött, szintén kiderül a jelentésből. A zsarolóvírusokról még többet megtudhat az ESET IT-biztonsági podcastjéből, ahol a kiberbiztonsági szakértők a zsarolóvírusok elleni lehetséges védekezési módokról is beszámolnak.