Siber Güvenlik Firmaları, bugün Ukrayna ağlarına karşı yıkıcı saldırılarda kullanılan yeni bir veri silecek buldular, Rusya'nın askerleri Ukrayna'nın bölgelerine getirdiği gibi.
Bir veri sileceki, verileri kurtarılamayan ve işletim sisteminin artık doğru çalışmaması için bir cihazdaki verileri kasten tahrip eden kötü amaçlı yazılımdır.
Bu sabah, Ukrayna devlet kurumları ve bankaları, web sitelerini çevrimdışı olarak alan DDOS saldırılarına çarptı.
Kısa bir süre sonra, Siber Güvenlik Firmaları Symantec ve ESET, bugün CyberAttacks'te Ukrayna örgütlerine karşı de siberattacks'ta kullanılan yeni bir yıkıcı veri silecek kötü amaçlı yazılımları bulduklarını açıkladı.
Symantec, şu anda virustotal üzerinde yalnızca 16/70 güvenlik motoruyla tespit edildiği Twitter'daki yeni veri silecekinin karmasını paylaştı.
"Symantec Threat Hunter Telemetry'e göre, Ukrayna, Letonya ve Litvanya'da yeni silecek saldırıları keşfettiler. Hedefler, Symantec Threat Intellice, BleepingComputer'taki bir açıklamada paylaşılan Vikram Thakur, Finans ve Devlet Müteahhitleri'ni içeriyorlardı.
ESET ayrıca yeni veri silecekinin teknik bir analizini ve nasıl konuşlandırıldığını gördüklerini içeren ayrıntılı bir twitter ipliği yayınladı.
ESET'e göre, yeni veri silecekleri Win32 / Killdisk.NCV olarak tespit edildi ve bugün Ukrayna ağlarında yüzlerce cihazda konuşlandırıldı.
Siberattack'lar bugün meydana gelmiş olsa da, ESET, kötü amaçlı yazılımın 12/28/21 tarihinde derledildiği, saldırıların bir süre için planlanabileceğini gösteriyor.
ESET, "Numuneden birinin PE derleme zaman damlası 2021-12-28'dir," neredeyse iki ay boyunca hazırlıklı olabileceğini düşündürmektedir "dedi.
Kötü amaçlı yazılımın bir analizinden BleepingComputer tarafından, silecek, aşağıda gösterildiği gibi DRV_X64, DRV_X86, DRV_XP_X64 ve DRV_XP_X64 ve DRV_XP_X86 adlı dört gömülü sürücü içerir.
Bu sürücüler, Windows 'sıkıştır' komutu kullanılarak sıkıştırılır, ancak bir kez genişlediler, 'Chengdu Yiwo Tech Development Co., Ltd.,' Easus Veri Kurtarma ve Disk Yönetimi Yazılım Geliştiricilerinin sahipleri tarafından imzalanır.
Kötü amaçlı yazılımlar yürütüldüğünde, silecek bu sürücülerden birini yeni bir Windows hizmeti olarak yükleyecektir.
Sürücülerin içindeki dizeler, EASEUS PRODUTION MANIDY programına ait olduklarını göstermektedir.
ESET, bu Easus sürücülerinin, kötü amaçlı yazılım bilgisayarı yeniden başlatmadan önce cihazın dosyalarını yozlaştırmak için işbirliği yaptığına inanıyor.
Güvenlik Araştırması Silas Cutler, veri silecekinin, cihazın ana önyükleme kaydını da çökenceğini, cihazı başlatılamayacağını doğruladı.
ESET, bu saldırılardan en az birinde, bireysel bilgisayarlarda hedeflenemediğini ve doğrudan Windows etki alanı denetleyicisinden konuşlandırıldığını uyardı.
Bu, tehdit aktörlerinin bir süre bu ağlara erişimi olduğunu gösterir.
"Hedeflenen kuruluşlardan birinde, silecek varsayılan (etki alanı politikası) GPO'nun, saldırganların Active Directory sunucusunun kontrolünü sağladığı anlamına geldiği anlamına gelir", "dedi.
Daha teknik detaylarla ilgilenenler için, Sentinelone Researcher J. A. Guerrero-Saade'in Twitter'daki analizini takip edebilirsiniz.
Bu veri silecek, son iki ayda Ukrayna ağlarına karşı kullanılan ikincisidir.
Ocak ayında, Microsoft, birden fazla Ukrayna kuruluşlarına yönelik saldırılarda ransomware olarak gizlenmiş bir yıkıcı veri silme kötü yazılımının kullanıldığını açıkladı.
Ocak ayı sileceği, 'Whispergate' olarak adlandırıldı ve belirli dosya uzantılarını bile hedef alıyor ve bir fidye notunu bırakarak bir fidye yazılımı saldırısını kimbatamıştır.
Bununla birlikte, bu kötü amaçlı yazılım aslında dosyaları bozan ve cihazın ana artırma kaydını silerek yıkıcı bir veri silecekiydi, Windows veya erişim dosyalarına girmeyi imkansız kılıyordu.
Saldırılar Rusya'ya bağlanmamış olsa da, veri silecekleri, geçmişte Rus devlet destekli tehdit aktörleri tarafından kullanılan bir araç olmuştur.
Tehdit aktörleri Notpetya Ransomware ile binlerce Ukrayna işletmesini hedeflediğinde, 2017 yılında veri silme saldırısı yapıldı.
2020'de ABD, Rus GRU bilgisayar korsanlarının resmi olarak suçluydu Rus GRU bilgisayar korsanlarının, notpetya saldırıları için "Sandworm" olarak bilinen seçkin Rus Hack Topluluğu'nun bir parçası olduğuna inanıyordu.
Güncelleme 2/23/22 10:04 PM EST: Symantec'ten eklenen ifade.
Ukrayna'daki veri silme saldırılarında çömelme olarak kullanılan fidye yazılımı
CISA, ABD ORG'lerini veri silme ciberattacks için hazırlar.
Microsoft: Rusça FSB bilgisayar korsanları Ekim ayından beri Ukrayna'ya çarpıyor
Rus 'Gamaredon' bilgisayar korsanları, saldırılarda 8 yeni kötü amaçlı yazılım yükü kullanıyor
NCSC Uyarıları İngiltere Orgs Yıkıcı Rus Cyberattacks için Brace için
Kaynak: Bleeping Computer