В этом посте мы собрали обзор деструктивных wiper-атак, которые мы наблюдали в Украине с начала 2022 года, незадолго до начала военного вторжения России. Большую часть этих атак мы смогли с уверенностью отнести к Sandworm. Подборка включает атаки, замеченные ESET, а также некоторые, о которых сообщили другие авторитетные источники, такие как CERT-UA, Microsoft и SentinelOne.
Примечание: Приблизительные даты (~) используются, когда точная дата развертывания неизвестна или неопределенна. В некоторых случаях используется дата обнаружения или (в случае обнаружений, не сделанных ESET) дата публикации информации об атаке.
До вторжения
Среди многочисленных волн DDoS-атак, которым в то время подвергались украинские учреждения, 14 января 2022 года ударил вредонос WhisperGate. Этот wiper маскировался под ransomware, что напоминало NotPetya в июне 2017 года – тактика, которая также использовалась в более поздних атаках.
23 февраля 2022 года деструктивная кампания с использованием HermeticWiper затронула сотни систем в по меньшей мере пяти украинских организациях. Этот дата-вайпер был впервые замечен незадолго до 17:00 по местному времени (15:00 UTC): кибератака произошла всего за несколько часов до вторжения войск Российской Федерации в Украину. Вместе с HermeticWiper в кампании также были развернуты червь HermeticWizard и псевдо-ransomware HermeticRansom.
Вторжение и весенняя волна
24 февраля 2022 года, когда украинская зима начала таять, началась вторая деструктивная атака на украинскую правительственную сеть с использованием вайпера, который мы назвали IsaacWiper.
Также в день вторжения кампания вайпера AcidRain нацелилась на модемы Viasat KA-SAT, затронув и территории за пределами Украины.
Еще один вайпер, первоначально раскрытый Microsoft, — DesertBlade, который, по сообщениям, был развернут 1 марта 2022 года и снова около 17 марта 2022 года. Тот же отчет упоминает атаки с использованием вайперов из кампании Hermetic, а именно HermeticWiper (Microsoft называет его FoxBlade) около 10 марта 2022 года, HermeticRansom (Microsoft называет его SonicVote) около 17 марта 2022 года, а также атаку около 24 марта 2022 года с использованием как HermeticWiper, так и HermeticRansom.
CERT-UA сообщил об обнаружении вайпера DoubleZero 17 марта 2022 года.
14 марта 2022 года исследователи ESET обнаружили атаку с использованием CaddyWiper, нацеленную на украинский банк.
1 апреля 2022 года мы снова обнаружили CaddyWiper, на этот раз загруженный лоадером ArguePatch, который обычно представляет собой модифицированный легитимный бинарник, используемый для загрузки shellcode из внешнего файла. Мы обнаружили похожий сценарий 16 мая 2022 года, когда ArguePatch принял форму модифицированного бинарника ESET.
Мы также обнаружили связку ArguePatch-CaddyWiper 8 апреля 2022 года, возможно, в рамках самых амбициозных атак Sandworm с начала вторжения: их неудачная попытка нарушить подачу электроэнергии с использованием Industroyer2. Помимо ArguePatch и CaddyWiper, в этом инциденте мы обнаружили вайперы для не-Windows платформ: ORCSHRED, SOLOSHRED и AWFULSHRED. Подробности см. в уведомлении CERT-UA и в нашем посте в WeLiveSecurity.
Более спокойное лето
Летние месяцы принесли меньше открытий новых wiper-кампаний в Украине по сравнению с предыдущими месяцами, однако произошло несколько заметных атак.
Мы сотрудничали с CERT-UA по случаям развертывания ArguePatch (и CaddyWiper) против украинских учреждений. Первый инцидент произошел на неделе, начинающейся 20 июня 2022 года, а второй – 23 июня 2022 года.
Осенняя волна
С понижением температуры в преддверии северной зимы, 3 октября 2022 года мы обнаружили новую версию CaddyWiper, развернутую в Украине. В отличие от ранее использовавшихся вариантов, на этот раз CaddyWiper был скомпилирован как 64-битный Windows-бинарник.
5 октября 2022 года мы идентифицировали новую версию HermeticWiper, загруженную на VirusTotal. Функциональность этого образца HermeticWiper была такой же, как и в предыдущих случаях, с небольшими изменениями.
11 октября 2022 года мы обнаружили развертывание Prestige ransomware против логистических компаний в Украине и Польше. Эта кампания также была зарегистрирована Microsoft.
В тот же день мы также идентифицировали ранее неизвестный вайпер, который мы назвали NikoWiper. Этот вайпер использовался против компании энергетического сектора в Украине. NikoWiper основан на SDelete – утилите командной строки Microsoft для безопасного удаления файлов.
11 ноября 2022 года CERT-UA опубликовал пост об атаке с использованием псевдо-ransomware Somnia.
21 ноября 2022 года мы обнаружили в Украине новый ransomware, написанный на .NET, который мы назвали RansomBoggs. Ransomware содержит несколько отсылок к фильму «Корпорация монстров». Мы наблюдали, что операторы вредоносного ПО использовали скрипты POWERGAP для развертывания этого файлокодера.
Январь 2023
В 2023 году деструктивные атаки на украинские учреждения продолжаются.
1 января 2023 года мы обнаружили выполнение утилиты SDelete у украинского реселлера программного обеспечения.
17 января 2023 года произошла еще одна атака с использованием нескольких вайперов, на этот раз против украинского новостного агентства, согласно CERT-UA. В этой атаке были обнаружены следующие вайперы: CaddyWiper, ZeroWipe, SDelete, AwfulShred и BidSwipe. BidSwipe заслуживает внимания, поскольку это вайпер для ОС FreeBSD.
25 января 2023 года мы обнаружили развертывание нового вайпера, написанного на Go и названного нами SwiftSlicer, против украинских органов местного самоуправления.
Практически во всех вышеупомянутых случаях Sandworm использовал групповые политики Active Directory (T1484.001) для развертывания своих вайперов и ransomware, в частности, используя скрипт POWERGAP.
Заключение
Использование деструктивных вайперов – и даже вайперов, маскирующихся под ransomware – российскими APT-группами, особенно Sandworm, против украинских организаций, не является чем-то новым. Примерно с 2014 года BlackEnergy использовал деструктивные плагины; wiper KillDisk был общим знаменателем в атаках Sandworm в прошлом; а подгруппа Telebots осуществила многочисленные wiper-атаки, наиболее печально известной из которых была NotPetya.
Однако активизация wiper-кампаний с момента военного вторжения в феврале 2022 года была беспрецедентной. Положительным моментом является то, что многие из этих атак были обнаружены и предотвращены. Тем не менее, мы продолжаем внимательно следить за ситуацией, поскольку ожидаем, что атаки будут продолжаться.
По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.
ESET Research также предлагает частные отчеты по APT-разведке и потоки данных. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.
IoC
Файлы
| SHA-1 | Имя файла | Имя обнаружения ESET | Описание |
|---|---|---|---|
| 189166D382C73C242BA45889D57980548D4BA37E | stage1.exe | Win32/KillMBR.NGI | Перезаписыватель MBR для WhisperGate, этап 1. |
| A67205DC84EC29EB71BB259B19C1A1783865C0FC | N/A | Win32/KillFiles.NKU | Финальная полезная нагрузка WhisperGate, этап 2. |
| 912342F1C840A42F6B74132F8A7C4FFE7D40FB77 | com.exe | Win32/KillDisk.NCV | HermeticWiper. |
| 61B25D11392172E587D8DA3045812A66C3385451 | conhosts.exe | Win32/KillDisk.NCV | HermeticWiper. |
| F32D791EC9E6385A91B45942C230F52AFF1626DF | cc2.exe | WinGo/Filecoder.BK | HermeticRansom. |
| 86906B140B019FDEDAABA73948D0C8F96A6B1B42 | ukrop | Linux/AcidRain.A | AcidRain. |
| AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 | cl64.dll | Win32/KillMBR.NHP | IsaacWiper. |
| 736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 | cld.dll | Win32/KillMBR.NHQ | IsaacWiper. |
| E9B96E9B86FAD28D950CA428879168E0894D854F | clean.exe | Win32/KillMBR.NHP | IsaacWiper. |
| 5C01947A49280CE98FB39D0B72311B47C47BC5CC | clean.exe | Win32/KillMBR.NHP | IsaacWiper. |
| 59F5B9AECE751E58BE16E7F7A7A6D8C044F583BE | cll.exe | Win32/KillMBR.NHQ | IsaacWiper. |
| 172FBE91867C1D6B7F3E2899CEA69113BB1F21A0 | notes.exe | WinGo/KillFiles.A | DesertBlade wiper. |
| 46671348C1A61B3A8BFBA025E64E5549B7FDFA98 | N/A | Win32/KillDisk.NCV | HermeticWiper. |
| DB0DA0D92D90657EA91C02336E0605E96DB92C05 | clrs.exe | Win32/KillDisk.NCV | HermeticWiper. |
| 98B3FB74B3E8B3F9B05A82473551C5A77B576D54 | caddy.exe | Win32/KillDisk.NCX | CaddyWiper. |
| 320116162D78AFB8E00FD972591479A899D3DFEE | cpcrs.exe | MSIL/KillFiles.CK | DoubleZero wiper. |
| 43B3D5FFAE55116C68C504339C5D953CA25C0E3F | csrss.exe | MSIL/KillFiles.CK | DoubleZero wiper. |
| 48F54A1D93C912ADF36C79BB56018DEFF190A35C | ukcphone.exe | Win32/Agent.AECG | ArguePatch shellcode loader. |
| 6FA04992C0624C7AA3CA80DA6A30E6DE91226A16 | peremoga.exe | Win32/Agent.AECG | ArguePatch shellcode loader. |
| 9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7 | pa1.pay | Win32/KillDisk.NDA | Зашифрованный CaddyWiper shellcode. |
| 3CDBC19BC4F12D8D00B81380F7A2504D08074C15 | wobf.sh | Linux/KillFiles.C | AwfulShred Linux wiper. |
| 8FC7646FA14667D07E3110FE754F61A78CFDE6BC | wsol.sh | Linux/KillFiles.B | SoloShred Solaris wipe. |
| 796362BD0304E305AD120576B6A8FB6721108752 | eset_ssl_filtered_cert_importer.exe | Win32/Agent.AEGY | ArguePatch shellcode loader. |
| 8F3830CB2B93C21818FDBFCF526A027601277F9B | spn.exe | Win32/Agent.AEKA | ArguePatch shellcode loader. |
| 3D5C2E1B792F690FBCF05441DF179A3A48888618 | mslrss.exe | Win32/Agent.AEKA | ArguePatch shellcode loader. |
| EB437FF79E639742EE36E89F30C6A21072B86CBC | caclcly.exe | Win64/Agent.BQZ | CaddyWiper x64. |
| 57E3D0108636F6EE56C801F128306AD43AF60EE6 | cmrss.exe | Win32/KillDisk.NCV | HermeticWiper. |
| 986BA7A5714AD5B0DE0D040D1C066389BCB81A67 | open.exe | Win32/Filecoder.Prestige.A | Prestige filecoder. |
| C7186DEF5E9C3E1B01BF506F538F5D6185377A9C | sysate32.exe | Win32/Filecoder.Prestige.A | Prestige filecoder. |
| 59621F5EFC311FDFE66683266CE9CB17F8227B23 | mstc_niko.exe | Win32/DelAll.NAH | NikoWiper. |
| 84E6A010B372D845C723A8B8D7DDD8D79675DCE5 | Sullivan.1.v2.0.exe | MSIL/Filecoder.RansomBoggs.A | RansomBoggs filecoder. |
| F4D1C047923B9D10031BB709AABF1A250AB0AAA2 | Sullivan.1.v4.5.exe | MSIL/Filecoder.RansomBoggs.A | RansomBoggs filecoder. |
| 9A3D63C6E127243B3036BC0E242789EC1D2AB171 | Sullivan.2.v2.exe | MSIL/Filecoder.RansomBoggs.A | RansomBoggs filecoder. |
| BB187EB125070176BD7EC6C57CFF166708DD60E1 | Sullivan.2.v4.exe | MSIL/Filecoder.RansomBoggs.A | RansomBoggs filecoder. |
| 3D593A39FA20FED851B9BEFB4FF2D391B43BDF08 | Sullivan.v2.5.exe | MSIL/Filecoder.RansomBoggs.A | RansomBoggs filecoder. |
| 021308C361C8DE7C38EF135BC3B53439EB4DA0B4 | Sullivan.v4.5.exe | MSIL/Filecoder.RansomBoggs.A | RansomBoggs filecoder. |
| 7346E2E29FADDD63AE5C610C07ACAB46B2B1B176 | help.exe | WinGo/KillFiles.C | SwiftSlicer wiper. |
