Rusya’nın Ukrayna’daki bazı hedeflere karşı başarısız olunca, yeni siber silahlar geliştirerek saldırılarını devam ettiriyor.
Ukrayna’yı hedef alan siber saldırıları sonrası yeni bir data wiper zararlı yazılımı tespit edildi.
Daha önce Rusya’nın kullandığı HermeticWiper’dan etkilenmeyen bir kurumda, IsaacWiper adlı veri yok eden data wiper zararlı yazılımının 24 Şubat’ta başlayan saldırılarda devreye sokulduğu tespit edildi.
Kolay Erişim
RUSLARIN SALDIRI ÖNCESİ ERİŞİMİ VARMIŞ
Rusya destekli olduğu tahmin edilen tehdit aktörleri söz konusu yazılımla, Ukrayna’daki devlet kurumlarının bilgisayar sistemlerini devre dışı bırakmayı hedefliyor.
IsaacWiper’ın Rusya’yla ilişkin olduğuna dair henüz somut bir kanıt bulunamazken, siber tehdit unsurlarının yazılımın bulaştığı sistemlerin Active Directory sunucularına önceden erişimi olduğu ortaya çıktı.
Tehdit aktörlerinin ayrıca IsaacWiper’la saldıp hedefine ulaşamadığı yerlerde yazılımın yeni bir versiyonunu 25 Şubat’ta kullanmaya başladığı anlaşıldı.
Saldırganların sistemlere erişmek için Impacket ve RemCom adlı uzaktan erişim yazılımlarını kullandığından şüpheleniliyor.
FARK EDİLMEMEK İÇİN KENDİSİNİ SİLİYOR
Ukrayna’da tespit edilen ilk datawiper olan HermeticWiper ile ilgili yapılan araştırmalarda zararlı yazılımın saldırı izlerini silmek için kendi dosyalarını ortadan kaldırdığı ve böylece fark edilmekten saklandığı belirlendi.
Windows işletim sistemi kullanan cihazları hedef alan HermeticWiper, Windows’ta bulunan Master Boot Record (Ara Önyükleme Kaydı) özelliğini kullanarak sistemlerin boot hatasına vermesine neden oluyor. Bu yolla kritik bilgilerin bulunduğu sistemler erişilemez hale geliyor.
Ön yükleme kaydı bozulduktan sonra, sahte bir fidye yazılımı gönderiliyor ve dosyalar şifreleniyor.
Üç aşamalı olarak programlanan söz konusu yazılım, önce verileri silmek için HermeticWiper’ı kullanıyor sonra yerel ağda yayılmak amacıyla HermeticWizard çalışıyor. Son aşamada ise tuzak bir fidye yazılımı olarak da HermeticRansom devreye sokuluyor.