03/03/22
Исследователи из ESET Research Labs обнаружили новое вредоносное ПО, использовавшееся в кибератаках на украинские организации, в том числе правительственные, до и после входа российских войск на территорию Украины 24 февраля.
В ходе анализа атак исследователи выявили новый уничтожитель данных (так называемый вайпер), получивший название IsaacWiper, а также червь HermeticWizard, использовавшийся для загрузки второго вайпера HermeticWiper с помощью модулей WMI и SMB. Специалисты пока не связали вредоносные программы ни с одной киберпреступной группировкой.
«Что касается IsaacWiper, в настоящее время мы ищем связь, если она есть, с HermeticWiper. Важно отметить, что он был обнаружен в сетях украинских организаций, которые не были заражены HermeticWiper», - сообщил глава подразделения ESET, специализирующегося на исследованиях киберугроз, Жан-Ян Бутен (Jean-Ian Boutin).
HermeticWiper и IsaacWiper также развертывались в отдельных компаниях. Первый из них впервые был замечен 23 февраля за несколько часов до начала наступления российских войск. Вредонос распространялся с помощью HermeticWizard по локальным сетям вместе с вымогательским ПО на Go HermeticRansom. В свою очередь, IsaacWiper использовался во второй серии атак на украинские правительственные сети 24 февраля.
На данный момент специалисты не обнаружили никаких признаков того, что были атакованы другие страны помимо Украины. Однако на прошлых выходных Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР предупредили американские организации о том, что атаки на Украину с использованием вайперов могут случайно перекинуться на сети в других странах.
Специалисты Microsoft Threat Intelligence Center (MSTIC) также зафиксировали атаки на Украину, в ходе которых развертывалось вредоносное ПО HermeticWiper (FoxBlade в классификации Microsoft).
