14 января этого года в мировых новостях прогремела новость о рейде российских правоохранительных органов, в результате которого были арестованы 14 членов печально известной банды ransomware Sodinokibi/REvil. Эта операция последовала за серией переговоров между официальными лицами США и России, включая встречу президентов Байдена и Путина в Женеве в июне. Российская спецслужба ФСБ подтвердила, что «лицо, ответственное за атаку на Colonial Pipeline прошлой весной», было арестовано в ходе рейда.
В то время, когда российское вторжение в Украину было вполне реальной возможностью, некоторые видели в этом событии «огромный результат, которого мало кто ожидал». Другие даже назвали это «российской дипломатией ransomware» – своего рода посланием США о том, как далеко Россия готова зайти в обмен на более мягкие санкции за будущее вторжение в Украину.
ЧИТАЙТЕ ТАКЖЕ: Вебинар ESET Research: Как APT-группы превратили Украину в киберполе боя
Накануне (13 января, в канун православного Нового года) ряд украинских государственных учреждений, НПО и ИТ-организаций подверглись атаке WhisperGate – деструктивного malware, который, по словам Microsoft, «был разработан так, чтобы выглядеть как ransomware, но без механизма восстановления выкупа». Этот вид фальшивого ransomware, как его классифицируют и исследователи ESET, имеет конечную цель вывести из строя целевые устройства, тем самым предполагая их связь с действующими от имени государства акторами, а не с бандами киберпреступников.
14 января сайты ряда украинских министерств и государственных ведомств были взломаны с целью отображения антиукраинской символики и сообщения: «Бойтесь и готовьтесь к худшему». Государственные и частные организации продолжали подвергаться атакам в дни, предшествовавшие вторжению, включая серию DDoS-атак, которые вывели из строя несколько важных украинских веб-сайтов. В то же время клиенты крупного украинского банка стали объектом SMS-кампании, предупреждавшей их о ложных сбоях в работе банкоматной сети банка.
Менее чем за час до вторжения крупная кибератака на спутник KA-SAT компании Viasat нарушила широкополосный доступ в интернет для тысяч украинцев, а также других европейских клиентов, оставив после себя тысячи вышедших из строя модемов. И США, и ЕС осудили эту атаку и приписали ее России, полагая, что ее целью было нарушить возможности связи украинского командования в первые часы вторжения.
Первые часы
Атаки на этом не закончились. Напротив, кибернападения в январе и начале февраля были лишь прелюдией к тому, что должно было произойти. Вечером 23 февраля, после DDoS-атак, выведших из строя несколько жизненно важных украинских веб-сайтов, ESET обнаружил новый malware для стирания данных – HermeticWiper – на сотнях машин в нескольких организациях Украины. Между тем, временная метка wiper показывает, что malware был скомпилирован 28 декабря 2021 года, что позволяет предположить, что атака готовилась некоторое время.
На следующий день, по мере разворачивания военной операции по вторжению в Украину, исследователи ESET обнаружили еще больше malware для стирания данных в украинских системах. IssacWiper был гораздо менее изощренным, чем HermeticWiper, и не имел с ним сходства в коде, а также был менее успешен в стирании данных на целевых машинах.
В гораздо меньшем масштабе исследователи ESET также наблюдали использование HermeticRansom одновременно с HermeticWiper. HermeticRansom был впервые замечен рано утром 24 февраля и является фальшивым ransomware. Другими словами, он не имел финансовых мотивов и вместо этого был развернут как приманка, пока wiper наносил ущерб.
Рисунок 1. Записка с требованием выкупа в HermeticWiper, с явной отсылкой к выборам в США
Следующие 99 дней
Исследователи ESET считают, что различные атаки с целью стирания данных, включая те, что связаны с CaddyWiper, обнаруженным 14 марта, были направлены на конкретные организации с целью нарушения их способности адекватно реагировать на вторжение. ESET выявил жертв в финансовом, медийном и государственном секторах и приписал как HermeticWiper, так и CaddyWiper группе Sandworm, которую США идентифицировали как часть российской военной разведки ГРУ.
Та же печально известная группа также несла ответственность за попытку развертывания Industroyer2 против высоковольтной электрической подстанции в Украине. Это открытие было сделано вовремя благодаря сотрудничеству ESET и CERT-UA. Malware является новой версией Industroyer – опасного malware, использовавшегося для атаки на украинскую электросеть в 2016 году, оставив тысячи людей без электричества.
Продолжались и другие кампании, включая DDoS-атаки, malware, компрометирующий медиасети, НПО и телекоммуникационных провайдеров, а также государственные структуры. Российское вторжение в Украину оказало значительное влияние на ландшафт ransomware, и не только в Украине.
Рисунок 2. Атаки, обнаруженные исследователями ESET до и после вторжения России в Украину
Получили по заслугам
В первые месяцы 2022 года, по данным телеметрии ESET, Россия стала страной, наиболее подверженной атакам ransomware, на которую пришлось 12% всех обнаружений. Это развитие событий резко контрастирует с ситуацией до вторжения, когда Россия и некоторые члены Содружества Независимых Государств (СНГ) избегали многих атак ransomware, вероятно, из-за того, что преступники проживали в этих странах или опасались ответных мер со стороны России.
Некоторые из атак были направлены против российских объектов, включая космическое агентство «Роскосмос» и государственную телерадиокомпанию «ВГТРК». Атаки на «Роскосмос» и «ВГТРК» были совершены хакерской группой NB65, которая воспользовалась утечкой кода, приведшей к расколу хакерской группы Conti после разногласий между членами по поводу заявленной поддержки бандой России.
На Россию также пришлось 40% всех инцидентов с ransomware, блокирующим экран (11% в Украине). Неудивительно, что, как и в случае с HermeticRansom, отображавшим политические сообщения, некоторые из этих атак в России включали украинское национальное приветствие: «Слава Україні».
Используя страх и солидарность
Не только страны, вовлеченные в войну, столкнулись с резким ростом обнаружений спама, в основном 24 февраля, и общим увеличением на 5,8% к апрелю. Сразу после начала войны ESET предупреждал об опасности мошенников, бессовестно использующих всемирное движение в поддержку Украины с помощью фиктивных благотворительных организаций и ложных призывов к пожертвованиям.
И поскольку война заставляла украинцев беспокоиться о доступе к своим деньгам, а россиян за границей – о невозможности использовать свои банковские карты, ESET обнаружил возросшее число атак на платформы криптовалют и распространение malware, связанного с криптовалютами.
Заключение
Последний отчет ESET Threat Report, опубликованный в прошлый четверг, проливает свет на ландшафт угроз за первые четыре месяца этого года. Прежде всего, однако, описанные атаки демонстрируют разрушительный потенциал кибервойны, идущей параллельно с обычной, «горячей» войной. В то же время, возросшие киберугрозы, с которыми Украина столкнулась с января, также служат предупредительным сигналом об эскалации будущих конфликтов.
Как отмечает старший инженер по обнаружению ESET Игорь Кабина, «Мы ожидаем, что атаки в поддержку той или иной стороны будут продолжаться в ближайшие месяцы и даже усиливаться, поскольку идеология и военная пропаганда становятся центральными движущими силами их распространения».