安全研究人员详细介绍了仅在 2022 年第一季度出现的六种重要的数据擦除恶意软件,比前几年大幅增加。
这一增长恰逢乌克兰入侵,所有这些雨刷器都被用来对付该州的基础设施和组织。其中一个雨刷器还使德国的风力涡轮机离线,乌克兰的卫星通信调制解调器似乎是这次特定攻击的主要目标。
Fortinet 安全研究员 Gergely Revay 在深入研究整个数据破坏恶意软件时写道: “尽管这些尚未正式归咎于俄罗斯国家支持的威胁行为者,但他们的目标与俄罗斯军方的目标一致。” “人们普遍认为,这些网络攻击是故意与入侵同步发起的。”
以下是 Fortinet 过去几年对重大文件垃圾恶意软件紧急情况的细分:
Shamoon,2012 年:曾攻击沙特阿美和卡塔尔的 RasGas 石油公司。
黑暗首尔,2013 年:攻击韩国媒体和金融公司。
Shamoon,2016 年:再次回来攻击沙特阿拉伯组织。
NotPetya,2017:最初针对乌克兰组织,但由于其自我传播能力,它成为迄今为止最具破坏性的恶意软件。
Olympic Destroyer,2018:针对韩国冬季奥运会的攻击。
Ordinypt/GermanWiper,2019:目标德国组织使用德语网络钓鱼电子邮件。Dustman,2019 年:伊朗国家支持的威胁行为者袭击了巴林的国家石油公司 Bapco。
ZeroCleare,2020:袭击中东的能源公司。
WhisperKill/WhisperGate,2022:在乌克兰-俄罗斯战争的同时袭击了乌克兰组织。
HermeticWiper,2022:在乌克兰-俄罗斯战争的同时袭击了乌克兰组织。
IsaacWiper,2022:在乌克兰-俄罗斯战争的同时袭击了乌克兰组织。
CaddyWiper,2022:在乌克兰-俄罗斯战争的同时袭击了乌克兰组织。
双零,2022:在乌克兰-俄罗斯战争的同时袭击了乌克兰组织。
AcidRain,2022:攻击 Viasat 的 KA-SAT 卫星服务提供商。
到目前为止,仅在 2022 年就有六个左右,而一年前大约是一个。迄今为止,尽管清除器主要针对乌克兰组织,但随着俄罗斯对该国的非法和血腥入侵仍在继续,网络安全和执法机构警告说,克里姆林宫支持的犯罪团伙可能会将其破坏性攻击转向西方政府和公司。
在 CISA 和 FBI 周四发布的联合警报中,美国机构提供了 WhisperGate 恶意软件的新入侵指标以及自 1 月以来针对乌克兰部署的其他四个擦除器的技术细节。
美联储警告说:“可能会发生针对乌克兰组织的进一步破坏性网络攻击,并可能无意中蔓延到其他国家的组织。 ” “组织应提高警惕并评估其能力,包括对此类事件的规划、准备、检测和响应。”
微软于 1 月 15 日发现了 2022 年首个新的信息破坏恶意软件,被称为 WhisperGate,被用于攻击乌克兰的组织。现在它被归咎于 Ghostwriter,它被认为与俄罗斯的 GRU 军事情报部门有关。
据 CISA 称,WhisperGate 会破坏 Windows 系统的主引导记录,显示一条消息,并根据某些文件扩展名加密文件。虽然该软件在攻击期间会显示此勒索软件注释,但这是一个骗局。微软建议,恶意软件会破坏数据,而且无法恢复——所以不要费心支付赎金。
在更新的安全警报中,CISA 和 FBI 列出了几个与 WhisperGate 相关的新恶意哈希,其中包含恶意二进制文件、dropper 和宏。
据联邦调查局称,这些二进制文件主要是 .NET,通常包含多层混淆,还包含多种防御措施,包括虚拟机检查、沙盒检测和规避以及反调试技术。“最后,通过 PowerShell 以不同长度使用 sleep 命令来混淆受害者网络上的执行,”他们指出。
此外,所有 WhisperGate Microsoft .doc 文件都包含一个令人讨厌的 base64 编码宏,并允许 PowerShell 脚本在受感染设备上运行睡眠命令,连接到外部网站,然后下载数据擦除器。
FortiGuard Labs 还对 WhisperGate 的数据擦除技术进行了详细分析,并指出其第二阶段从硬编码的 Discord 通道下载文件破坏组件。
该组件窥探受害者的文件夹,寻找恶意软件中硬编码扩展名的不同数据文件。Revay 写道,然后它用 1 MB 的 0xCC 字节替换了这些文件的内容,并且还添加了一个 4 字符长的随机扩展名。
虽然 CISA 的警告详细说明了与俄罗斯在乌克兰的动能战一起使用的五种刮水器——WhisperGate/WhisperKill、HermeticWiper、IsaacWiper、HermeticWizard 和 CaddyWiper——但 FortiGuard Labs 将第六种刮水器计算在内,称为 AcidWiper。
SentinelOne 的安全研究人员上个月发现了这种恶意软件,他们推测该恶意软件被用于攻击 Viasat KA-SAT 卫星宽带服务提供商,以便在乌克兰使用的 KA-SAT 调制解调器上部署 AcidRain。Viasat 后来证实,此次攻击使用了 AcidRain,该攻击还使德国 5,800 台风力涡轮机下线。
该安全商店的研究人员还以“中等信心”表示,克里姆林宫支持的Sandworm 团伙是 AcidRain 攻击的幕后黑手,而且这种新的擦除恶意软件可能是俄罗斯破坏性 VPNFilter 的继任者。
Fortinet 的首席安全策略师 Derek Manky 告诉The Register ,无论最终数量如何,无论是五六种新的擦除器恶意软件,在 2022 年第一季度看到这么多“是前所未有的” 。“从历史上看,我们一年见过一次。”
根据这家安全公司的分析,这种情况自 2012 年以来一直存在,2019 年是该规则的例外——直到现在。2019 年,Ordinypt 以网络钓鱼电子邮件针对德国组织,同年,伊朗国家支持的犯罪分子使用名为 Dustman 的擦除器攻击了巴林的国家石油公司 Bapco。
Manky 补充说,仅仅四个月就从一年一个到五个或六个擦除器说明了网络犯罪集团的日益复杂化。
“至少可以说,这令人担忧,”他说。“这不仅仅是网络犯罪的货币化和财务方面,而且我们看到网络犯罪现在变得更加复杂和具有破坏性。”
推荐阅读
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
