Die Cybersecurity-Firmen ESET und Symantec von Broadcom gaben bekannt, dass sie eine neue Data Wiper Malware entdeckt haben, die bei neuen Angriffen auf Hunderte von Rechnern in der Ukraine eingesetzt wurde, nachdem die russischen Streitkräfte offiziell eine umfassende Militäroperation gegen das Land gestartet haben.
Das slowakische Unternehmen nannte den Wiper „HermeticWiper“ (auch bekannt als KillDisk.NCV). Eines der Malware-Samples wurde am 28. Dezember 2021 erstellt, was darauf hindeutet, dass die Vorbereitungen für die Angriffe bereits seit fast zwei Monaten im Gange sein könnten.
„Die Wiper-Binärdatei ist mit einem Code Signing-Zertifikat von Hermetica Digital Ltd. signiert“, so ESET in einer Reihe von Tweets. „Der Wiper missbraucht legitime Treiber der EaseUS Partition Master Software, um Daten zu beschädigen. Als letzten Schritt startet der Wiper den Computer neu.
Bei mindestens einem der Einbrüche wurde die Malware direkt vom Windows-Domänencontroller aus verteilt, was darauf hindeutet, dass die Angreifer die Kontrolle über das Zielnetzwerk übernommen hatten.
Das Ausmaß und die Auswirkungen der Datenlöschungsangriffe sind noch nicht bekannt, ebenso wenig wie die Identität der Bedrohung, die hinter den Infektionen steckt. Nach der WhisperGate-Operation Mitte Januar ist dies jedoch bereits das zweite Mal in diesem Jahr, dass eine zerstörerische Malware auf ukrainischen Computersystemen eingesetzt wurde.
Die Wiper-Angriffe folgen auf eine dritte „massive“ Welle von DDoS-Angriffen (Distributed Denial-of-Service), die am Mittwoch mehrere ukrainische Regierungs- und Bankinstitutionen heimsuchte und die Online-Portale des Außenministeriums, des Ministerkabinetts und des Parlaments Rada lahmlegte.
In der vergangenen Woche waren zwei der größten ukrainischen Banken, die PrivatBank und die Oschadbank, sowie die Websites des ukrainischen Verteidigungsministeriums und der Streitkräfte aufgrund eines DDoS-Angriffs von unbekannten Akteuren ausgefallen, was die Regierungen Großbritanniens und der USA dazu veranlasste, mit dem Finger auf das russische Direktorat des Hauptgeheimdienstes (GRU) zu zeigen.
Bei DDoS-Angriffen werden Sturzbäche von Junk-Traffic verschickt, um Ziele zu überwältigen und sie unerreichbar zu machen. Eine nachträgliche Analyse der Vorfälle vom 15. Februar durch das CERT-UA ergab, dass sie mit Hilfe von Botnetzen wie Mirai und Mēris durchgeführt wurden, indem kompromittierte MikroTik-Router und andere IoT-Geräte genutzt wurden.
Darüber hinaus sollen allein im Januar 2022 121 Cyberangriffe auf Informationssysteme staatlicher Einrichtungen der Ukraine erfolglos gewesen sein.
Das ist noch nicht alles. Cyberkriminelle versuchen, aus den anhaltenden politischen Spannungen Kapital zu schlagen, indem sie Datenbanken und Netzwerkzugänge mit Informationen über ukrainische Bürgerinnen und Bürger und kritische Infrastruktureinrichtungen auf den Marktplätzen RaidForums und Free Civilian anbieten, „in der Hoffnung, hohe Gewinne zu erzielen“, so ein Bericht, der diese Woche von Accenture veröffentlicht wurde.
Der kontinuierliche Ansturm bösartiger Cyberangriffe seit Anfang des Jahres hat die ukrainische Strafverfolgungsbehörde dazu veranlasst, die Angriffe als Versuch darzustellen, Angst zu verbreiten, das Vertrauen in die Fähigkeit des Staates, seine Bürgerinnen und Bürger zu schützen, zu untergraben und die Einheit des Landes zu destabilisieren.
„Die Ukraine ist mit Versuchen konfrontiert, systematisch Panik zu schüren, falsche Informationen zu verbreiten und die tatsächliche Lage zu verdrehen“, erklärte der Sicherheitsdienst der Ukraine (SSU) am 14. Februar. „All das zusammen ist nichts anderes als eine weitere massive Welle der hybriden Kriegsführung“.