俄羅斯政府機構遭CryWiper勒索攻擊?假勒索or真擦除?
責編:gltian |2022-12-06 17:10:23據俄羅斯《消息報》12月2日報道,俄羅斯某市長的辦公室和法院遭到了一種新的加密病毒攻擊。該程序在計算機上對數據進行編碼,然后屏幕上出現一條消息,要求支付贖金——數額超過50萬盧布。但是,即使受害者將這筆金額轉移給黑客,病毒也會將文件完全刪除。
據卡巴斯基實驗室網絡安全專家稱,該程序不會自動銷毀文件:它會向命令和控制服務器發送請求,只有在獲得許可后才會開始工作。專家說,內容損壞的文件會收到一個額外的CRY擴展名,這意味著它們是加密的,無法使用標準方法打開。感染設備后,這個名為CryWiper的惡意軟件會損壞文件并顯示勒索信息。攻擊者留下了一個電子郵件地址和一個比特幣錢包地址。這個名為 CryWiper 的程序目前攻擊的目標是俄羅斯目標,據分析該程序的網絡安全公司卡巴斯基稱,CryWiper很容易被用來攻擊其他國家的公司和組織。偽裝的擦除器程序延續了勒索軟件被有意或無意用作擦除器的趨勢。
研究人員寫道:“過去,我們看到一些惡意軟件變種意外地變成了擦除器——這是由于它們的創建者錯誤地實施了加密算法。” “然而,這一次攻擊俄羅斯政府機構的情況并非如此:專家們相信攻擊者的主要目標不是經濟利益,而是破壞數據。文件并沒有真正加密;相反,惡意軟件會用偽隨機生成的數據覆蓋它們。“
刪除關鍵數據的惡意軟件(稱為擦除器)已成為對私營和公共部門的重大威脅。俄羅斯機構在與烏克蘭的沖突中使用了擦除器,試圖破壞該國的關鍵服務及其防御協調。十年前,伊朗使用 Shamoon 擦除器程序對競爭對手沙特阿拉伯國有石油集團沙特阿美公司的30,000 多個硬盤進行加密并使之失效。
卡巴斯基研究人員在他們的分析中表示,最近的一次攻擊針對的是一家俄羅斯組織,這表明這可能是烏克蘭軍隊或黨派黑客的報復。
網絡安全公司Trellix的惡意軟件研究員Max Kersten表示:“考慮到所使用的覆蓋面——偽裝成勒索軟件——以及編寫一個簡單的擦除器所需的時間及其復雜性,似乎任何人都可能是這次攻擊的幕后黑手。” “卡巴斯基表明受害者是俄羅斯機構,這意味著在我看來,反俄羅斯活動家、親烏克蘭活動家、烏克蘭作為一個國家或支持烏克蘭的國家都可能是幕后黑手。”
假勒索軟件還是懶惰的罪犯?
CryWiper是最新的攻擊程序,看似勒索軟件,但實際上充當擦除器。根據卡巴斯基俄語分析結論的翻譯,雖然過去的例子經常因為開發人員的錯誤而刪除數據,但 CryWiper的創建者設計了它的功能。
卡巴斯基表示:“在檢查惡意軟件樣本后,我們發現該木馬雖然偽裝成勒索軟件并向受害者勒索金錢以‘解密’數據,但實際上并未加密,而是故意破壞受影響系統中的數據。” . “而且,對惡意程序代碼的分析表明,這不是開發者的錯誤,而是他的初衷。”
CryWiper并不是第一個在不允許解密的情況下覆蓋數據的惡意軟件程序。最近發現的另一個程序W32/Filecoder.KY!tr也會覆蓋文件,但在這種情況下,由于編程不當,無法恢復數據。
“勒索軟件并不是故意變成一個擦除器。相反,缺乏質量保證導致樣本無法正常工作,”Fortinet究員GergelyRevay在分析中表示。“這個缺陷的問題在于,由于勒索軟件的設計簡單,如果程序崩潰——甚至關閉——就沒有辦法恢復加密文件。”
與以前的勒索軟件有相似之處?
CryWiper似乎是一種原始惡意軟件,但這種破壞性惡意軟件使用與IsaacWiper相同的偽隨機數生成器 (PRNG) 算法,IsaacWiper是一種用于攻擊烏克蘭公共部門組織的程序,而CryWipe似乎已經攻擊了俄羅斯聯邦的一個組織。
Xorist勒索軟件家族和Trojan-Ransom.MSIL.Agent家族的幾個變體在CryWiper 數據損壞后留下的便條中使用了相同的電子郵件地址,但 Trellix 的Kersten認為這可能是故意造成混淆。
“在不同的樣本中重復使用贖金票據中的電子郵件地址,可能是為了甩掉那些希望將這些點聯系起來的分析師,或者這可能是一個真正的錯誤,”他說。“我認為后者的可能性較小,因為惡意軟件的代碼包含一些錯誤,表明它尚未經過徹底測試,這讓我認為創建者處于時間壓力之下。”
過去,防范勒索軟件攻擊為目標的公司一直在為是否向勒索軟件組織付費以使用備份和離線副本從加密勒索軟件事件中恢復而苦惱。
“CryWiper將自己定位為一個勒索軟件程序,即聲稱受害者的文件是加密的,如果支付贖金,就可以恢復。但這是一個騙局:實際上,數據已經被破壞,無法恢復。”返回,”卡巴斯基說。“CryWiper的活動再次表明,支付贖金并不能保證文件的恢復。”
擦除器攻擊正在擴大
今年上半年,研究人員發現與俄烏戰爭同時部署的擦除器惡意軟件呈上升趨勢。然而,這些擦除器并沒有停留在一個地方——它們正在全球范圍內出現,這突顯了網絡犯罪不分國界的事實。 增長的不僅僅是數字,研究人員還看到了多樣性和復雜性的增加。這些擦拭器品種也越來越多地瞄準關鍵基礎設施。
烏克蘭戰爭無疑推動了擦除器惡意軟件的使用大幅增加;FortiGuard實驗室的研究在 2022年上半年發現了至少七種新的擦除器變體,這些變體用于針對政府、軍隊和私人組織的活動。這幾乎是自 2012年以來公開檢測到的擦除器變種總數的總和,當時不良行為者使用Shamoon雨刮器攻擊一家沙特阿拉伯石油公司。
目前觀測到的擦除器惡意軟件變體包括:
??CaddyWiper:俄烏戰爭開始后不久,不法分子使用此變體從屬于選定數量的烏克蘭組織的系統上的驅動器中擦除數據和分區信息。
??WhisperGate:?Microsoft于今年1月中旬發現,用于針對烏克蘭的組織。
??HermeticWiper:?2月份由SentinelLabs發現,這個用于觸發啟動失敗的工具也被發現針對烏克蘭組織
??IsaacWiper:一種惡意軟件工具,用于覆蓋磁盤驅動器和附加存儲中的數據以使其無法操作。
此外,研究人員還觀察到其他三個針對烏克蘭公司和組織的變體:WhisperKill、Double Zero和AcidRain。
在對烏克蘭和其他國家的攻擊中看到的是,擦除器惡意軟件可以而且正在被用來降低和破壞關鍵基礎設施。這是作為更大規模的網絡戰行動的一部分進行的。研究人員看到的另一種常見策略是擦除器惡意軟件樣本有時會“偽裝”成勒索軟件——利用許多與勒索軟件相同的策略、技術和程序,但事實上無法恢復被加密文件。
必須引起注意的是,擦除器軟件被用于經濟利益和網絡破壞——它可能會產生非常毀滅性的后果。因為此類惡意軟件攻擊檢測率低于其他類型的網絡攻擊,防御者面臨更多的困難和挑戰來發現它,所以不要陷入“事不關己、高高掛起”的陷阱。
參考資源
1、https://www.securityweek.com/wipers-are-widening-heres-why-matters
2、https://www.darkreading.com/threat-intelligence/wiper-disguised-fake-ransomware-targets-russian-orgs
3、https://iz.ru/1433190/ivan-chernousov/stiratelnyi-pocherk-gosstruktury-atakoval-novyi-virus-shifrovalshchik
來源:網空閑話