Кибератаки в Украине вскоре могут распространиться на другие страны



Большинство кибератак в Украине по-прежнему являются спланированными и целенаправленными, но есть некоторые признаки того, что вскоре это может измениться.

Одним из признаков является новый троянец FoxBlade, недавно обнаруженный исследователями Microsoft в украинских государственных системах; это позволит злоумышленникам использовать зараженные ПК в распределенных атаках типа «отказ в обслуживании» (DDoS). Есть опасения, что операторы вредоносного ПО попытаются заразить им как можно больше систем — как внутри Украины, так и за ее пределами — чтобы сделать свои DDoS-атаки более мощными.

Еще одним признаком является резкое увеличение фишинговых атак из России за последние 24 часа, которые уже затронули некоторые организации в США и Европе.

Президент и вице-председатель Microsoft Брэд Смит кратко упомянул FoxBlade в более широком сообщении в блоге об использовании и злоупотреблении цифровыми технологиями в Украине в понедельник. Он описал вредоносное ПО как часть более широкого набора «точно нацеленных» атак, в отличие от 2017 года, когда атаки NotPetya распространились из Украины в другие страны. Смит не дал описания FoxBlade или потенциальных векторов заражения, но отметил, что Microsoft разработала сигнатуру для угрозы за три часа и добавила ее в службу защиты от вредоносных программ Defender.

Однако в описании аналитики угроз Microsoft FoxBlade описывается как вредоносное ПО, которое позволяет использовать зараженные системы для DDoS-атак без ведома пользователя системы.

Натан Эйнвехтер, директор по исследованиям безопасности в Vectra, говорит, что он ожидает, что системы за пределами Украины станут основными целями заражения FoxBlade. «Возможность заразить многие системы за пределами Украины позволяет злоумышленникам оказывать большее влияние на важные цели», — говорит он. «Зараженные системы в Украине с гораздо большей вероятностью станут жертвой атаки программ-вымогателей или вайперов после заражения, в отличие от DDoS-троянца FoxBlade».

Также важно учитывать, на кого именно злоумышленник может нацелиться с помощью своих возможностей DDoS. Эти организации, вероятно, будут гораздо более тщательно отобранными субъектами, в активном нарушении которых заинтересованы злоумышленники. Потенциальные цели могут включать организации в Украине, а также в странах, которые поддержали Украину.

«Оба этих типа целей, даже за пределами Украины, представляют собой важные возможности по-разному повлиять на конфликт», — говорит Эйнвехтер. Он добавляет, что FoxBlade является автономным, наряду с дроппером, и загружается в системы после того, как используется какой-либо другой существующий эксплойт, поэтому он не привязан конкретно к какому-либо конкретному эксплойту или уязвимости.

Большой всплеск атак на электронную почту из России
Между тем, Аванан сообщил о восьмикратном увеличении количества атак по электронной почте из России только за последние 24 часа, по крайней мере, некоторые из них были нацелены на производственные фирмы и международные судоходные и транспортные компании в США и Европе.

Во вторник Аванан заявил, что большинство атак, по-видимому, предназначены для получения доступа к учетным записям электронной почты получателей и принуждения их к передаче учетных данных.

«Похоже, что больше всего атак было совершено против морских судоходных компаний и производителей автомобилей», — говорит Гил Фридрих, генеральный директор Avanan, компании Take a look at Level Safety. «У некоторых есть операции в Украине, у некоторых нет», — добавляет он.

В качестве примера он приводит международную судоходную компанию, руководство которой имеет связи с Украиной. По словам Фридриха, субъекты, стоящие за последней серией атак, представляют собой комбинацию базирующихся в России групп, занимающихся оппортунистическими атаками, и групп, нацеленных на конкретных жертв.

Во вторник компания ESET сообщила, что ее исследователи наблюдали второй разрушительный очиститель диска, получивший название IsaacWiper, который целенаправленно использовался в системах, принадлежащих украинской правительственной организации. На прошлой неделе поставщик систем безопасности сообщил об обнаружении еще одной утилиты очистки дисков под названием HermeticWiper в системах, принадлежащих нескольким украинским организациям. Оба вредоносных инструмента предназначены для перезаписи основной загрузочной записи (MBR) в системах Home windows, что делает их неработоспособными после заражения и компрометации.

Во вторник ESET сообщила, что атаки с участием HermeticWiper начались 23 февраля. незадолго до вторжения России в Украину. ESET заявила, что наблюдала HermeticWiper на сотнях систем, принадлежащих как минимум пяти организациям в Украине. Злоумышленники, по-видимому, использовали вредоносный инструмент под названием HermeticWizard для распространения вредоносного ПО для очистки дисков по локальным сетям через общие ресурсы SMB и инструментарий управления Home windows (WMI), сообщает ESET. Компания заявила, что ее исследователи не смогли отнести вредоносное ПО к какому-либо конкретному субъекту или стране.

«Эти два очистителя немного различаются по своей реализации, — говорит Жан-Иан Бутен, руководитель отдела исследования угроз ESET. «HermeticWiper более сложен, чем IsaacWiper, но оба имеют одну и ту же цель: они пытаются испортить содержимое диска и сделать систему неработоспособной».

Бутин разделил оценку Смитом атак на Украину, которые до сих пор были целенаправленными. “Это [a] Справедливая оценка, — говорит Бутин. — Судя по возможностям, внешнему виду и выбору целей, атаки вайперов, о которых сообщила ESET Analysis, были очень целенаправленными».

https://cyberxhack.org/