هجوم ‘IsaacWiper’ يستهدف أوكرانيا ثاني هجوم من نوع ‘IsaacWiper’ يستهدف أوكرانيا بعد الغزو الروسي . لوحظ انتشار برنامج ضار جديد لممسحة البيانات ضد شبكة حكومية أوكرانية غير مسماة ، بعد يوم من الهجمات الإلكترونية المدمرة التي ضربت كيانات متعددة في البلاد قبل بدء الغزو العسكري الروسي.
أطلقت شركة الأمن السيبراني السلوفاكية ESET على البرنامج الخبيث الجديد اسم “IsaacWiper” ، الذي قالت إنه تم اكتشافه في 24 فبراير في منظمة لم تتأثر بـ HermeticWiper (المعروف أيضًا باسم FoxBlade) ، وهو برنامج ضار آخر يمسح البيانات استهدف العديد من المنظمات في 23 فبراير كجزء من عملية تخريبية تهدف العملية إلى جعل الآلات غير صالحة للاستعمال.
كشف التحليل الإضافي لهجمات HermeticWiper ، التي أصابت ما لا يقل عن خمس منظمات أوكرانية ، عن مكون دودة تنشر البرامج الضارة عبر الشبكة المخترقة ووحدة برامج الفدية التي تعمل بمثابة “إلهاء عن هجمات” ، مما يؤكد تقريرًا سابقًا من شركة Symantec .
وقالت الشركة: “استفادت هذه الهجمات المدمرة من ثلاثة مكونات على الأقل: HermeticWiper لمسح البيانات ، و HermeticWizard للانتشار على الشبكة المحلية ، و HermeticRansom بمثابة برنامج الفدية الخادعة”.
في تحليل منفصل لبرمجيات الفدية الجديدة التي تتخذ من جولانج مقراً لها ، وصفتها شركة الأمن السيبراني الروسية كاسبرسكي ، والتي أطلق عليها اسم البرنامج الضار “Elections GoRansom” ، بأنها عملية اللحظة الأخيرة ، مضيفة أنها “استخدمت على الأرجح كستار دخان لهجوم HermeticWiper بسبب أسلوبه غير المعقد وسوء تنفيذه “.
كإجراء مضاد للطب الشرعي ، تم تصميم HermeticWiper أيضًا لإعاقة التحليل عن طريق محو نفسه من القرص عن طريق الكتابة فوق الملف الخاص به ببايت عشوائي.
تتحدث ESET عن:
قالت ESET إنها لم تجد “أي اتصال ملموس” لإسناد هذه الهجمات إلى عامل تهديد معروف. حيث تشير عناصر البرامج الضارة إلى أن عمليات التطفل قد تم التخطيط لها لعدة أشهر. ناهيك عن حقيقة أن الكيانات المستهدفة عانت من تنازلات في وقت مبكر. لنشر المساحات.
“يستند هذا إلى عدة حقائق: الطوابع الزمنية للتجميع HermeticWiper PE ، أقدمها 28 ديسمبر 2021. تاريخ إصدار شهادة توقيع الرمز في 13 أبريل 2021. ونشر HermeticWiper من خلال نهج المجال الافتراضي في مثيل واحد على الأقل . مما يشير إلى أن المهاجمين كان لديهم وصول مسبق إلى أحد خوادم Active Directory الخاصة بالضحية “. قال جان إيان بوتين. رئيس قسم أبحاث التهديدات في ESET.
من غير المعروف أيضًا متجهات الوصول الأولية المستخدمة لنشر كل من المساحات. على الرغم من الاشتباه في أن المهاجمين استفادوا من أدوات مثل Impacket و RemCom. وهو برنامج وصول عن بُعد. للحركة الجانبية وتوزيع البرامج الضارة.
علاوة على ذلك ، لا يشترك IsaacWiper في أي تداخل على مستوى الكود مع HermeticWiper وهو أقل تعقيدًا إلى حد كبير. حتى عندما يشرع في تعداد جميع محركات الأقراص الفعلية والمنطقية قبل الشروع في تنفيذ عمليات مسح الملفات الخاصة به.
قال الباحثون: “في 25 فبراير 2022. أسقط المهاجمون نسخة جديدة من IsaacWiper بسجلات تصحيح الأخطاء”. “قد يشير هذا إلى أن المهاجمين لم يتمكنوا من مسح بعض الأجهزة المستهدفة وأضافوا رسائل السجل لفهم ما كان يحدث”.