据俄罗斯《消息报》12月2日报道,俄罗斯某市长的办公室和法院遭到了一种新的加密病毒攻击。该程序在计算机上对数据进行编码,然后屏幕上出现一条消息,要求支付赎金——数额超过50万卢布。但是,即使受害者将这笔金额转移给黑客,病毒也会将文件完全删除。
据卡巴斯基实验室网络安全专家称,该程序不会自动销毁文件:它会向命令和控制服务器发送请求,只有在获得许可后才会开始工作。专家说,内容损坏的文件会收到一个额外的CRY扩展名,这意味着它们是加密的,无法使用标准方法打开。感染设备后,这个名为CryWiper的恶意软件会损坏文件并显示勒索信息。攻击者留下了一个电子邮件地址和一个比特币钱包地址。这个名为 CryWiper 的程序目前攻击的目标是俄罗斯目标,据分析该程序的网络安全公司卡巴斯基称,CryWiper很容易被用来攻击其他国家的公司和组织。伪装的擦除器程序延续了勒索软件被有意或无意用作擦除器的趋势。
研究人员写道:“过去,我们看到一些恶意软件变种意外地变成了擦除器——这是由于它们的创建者错误地实施了加密算法。” “然而,这一次攻击俄罗斯政府机构的情况并非如此:专家们相信攻击者的主要目标不是经济利益,而是破坏数据。文件并没有真正加密;相反,恶意软件会用伪随机生成的数据覆盖它们。“
删除关键数据的恶意软件(称为擦除器)已成为对私营和公共部门的重大威胁。俄罗斯机构在与乌克兰的冲突中使用了擦除器,试图破坏该国的关键服务及其防御协调。十年前,伊朗使用 Shamoon 擦除器程序对竞争对手沙特阿拉伯国有石油集团沙特阿美公司的30,000 多个硬盘进行加密并使之失效。
卡巴斯基研究人员在他们的分析中表示,最近的一次攻击针对的是一家俄罗斯组织,这表明这可能是乌克兰军队或党派黑客的报复。
网络安全公司Trellix的恶意软件研究员Max Kersten表示:“考虑到所使用的覆盖面——伪装成勒索软件——以及编写一个简单的擦除器所需的时间及其复杂性,似乎任何人都可能是这次攻击的幕后黑手。” “卡巴斯基表明受害者是俄罗斯机构,这意味着在我看来,反俄罗斯活动家、亲乌克兰活动家、乌克兰作为一个国家或支持乌克兰的国家都可能是幕后黑手。”
假勒索软件还是懒惰的罪犯?
CryWiper是最新的攻击程序,看似勒索软件,但实际上充当擦除器。根据卡巴斯基俄语分析结论的翻译,虽然过去的例子经常因为开发人员的错误而删除数据,但 CryWiper的创建者设计了它的功能。
卡巴斯基表示:“在检查恶意软件样本后,我们发现该木马虽然伪装成勒索软件并向受害者勒索金钱以‘解密’数据,但实际上并未加密,而是故意破坏受影响系统中的数据。” . “而且,对恶意程序代码的分析表明,这不是开发者的错误,而是他的初衷。”
CryWiper并不是第一个在不允许解密的情况下覆盖数据的恶意软件程序。最近发现的另一个程序W32/Filecoder.KY!tr也会覆盖文件,但在这种情况下,由于编程不当,无法恢复数据。
“勒索软件并不是故意变成一个擦除器。相反,缺乏质量保证导致样本无法正常工作,”Fortinet究员GergelyRevay在分析中表示。“这个缺陷的问题在于,由于勒索软件的设计简单,如果程序崩溃——甚至关闭——就没有办法恢复加密文件。”
与以前的勒索软件有相似之处?
CryWiper似乎是一种原始恶意软件,但这种破坏性恶意软件使用与IsaacWiper相同的伪随机数生成器 (PRNG) 算法,IsaacWiper是一种用于攻击乌克兰公共部门组织的程序,而CryWipe似乎已经攻击了俄罗斯联邦的一个组织。
Xorist勒索软件家族和Trojan-Ransom.MSIL.Agent家族的几个变体在CryWiper 数据损坏后留下的便条中使用了相同的电子邮件地址,但 Trellix 的Kersten认为这可能是故意造成混淆。
“在不同的样本中重复使用赎金票据中的电子邮件地址,可能是为了甩掉那些希望将这些点联系起来的分析师,或者这可能是一个真正的错误,”他说。“我认为后者的可能性较小,因为恶意软件的代码包含一些错误,表明它尚未经过彻底测试,这让我认为创建者处于时间压力之下。”
过去,防范勒索软件攻击为目标的公司一直在为是否向勒索软件组织付费以使用备份和离线副本从加密勒索软件事件中恢复而苦恼。
“CryWiper将自己定位为一个勒索软件程序,即声称受害者的文件是加密的,如果支付赎金,就可以恢复。但这是一个骗局:实际上,数据已经被破坏,无法恢复。”返回,”卡巴斯基说。“CryWiper的活动再次表明,支付赎金并不能保证文件的恢复。”
擦除器攻击正在扩大
今年上半年,研究人员发现与俄乌战争同时部署的擦除器恶意软件呈上升趋势。然而,这些擦除器并没有停留在一个地方——它们正在全球范围内出现,这突显了网络犯罪不分国界的事实。 增长的不仅仅是数字,研究人员还看到了多样性和复杂性的增加。这些擦拭器品种也越来越多地瞄准关键基础设施。
乌克兰战争无疑推动了擦除器恶意软件的使用大幅增加;FortiGuard实验室的研究在 2022年上半年发现了至少七种新的擦除器变体,这些变体用于针对政府、军队和私人组织的活动。这几乎是自 2012年以来公开检测到的擦除器变种总数的总和,当时不良行为者使用Shamoon雨刮器攻击一家沙特阿拉伯石油公司。
目前观测到的擦除器恶意软件变体包括:
• CaddyWiper:俄乌战争开始后不久,不法分子使用此变体从属于选定数量的乌克兰组织的系统上的驱动器中擦除数据和分区信息。
• WhisperGate: Microsoft于今年1月中旬发现,用于针对乌克兰的组织。
• HermeticWiper: 2月份由SentinelLabs发现,这个用于触发启动失败的工具也被发现针对乌克兰组织
• IsaacWiper:一种恶意软件工具,用于覆盖磁盘驱动器和附加存储中的数据以使其无法操作。
此外,研究人员还观察到其他三个针对乌克兰公司和组织的变体:WhisperKill、Double Zero和AcidRain。
在对乌克兰和其他国家的攻击中看到的是,擦除器恶意软件可以而且正在被用来降低和破坏关键基础设施。这是作为更大规模的网络战行动的一部分进行的。研究人员看到的另一种常见策略是擦除器恶意软件样本有时会“伪装”成勒索软件——利用许多与勒索软件相同的策略、技术和程序,但事实上无法恢复被加密文件。
必须引起注意的是,擦除器软件被用于经济利益和网络破坏——它可能会产生非常毁灭性的后果。因为此类恶意软件攻击检测率低于其他类型的网络攻击,防御者面临更多的困难和挑战来发现它,所以不要陷入“事不关己、高高挂起”的陷阱。
参考资源
1、https://www.securityweek.com/wipers-are-widening-heres-why-matters
2、https://www.darkreading.com/threat-intelligence/wiper-disguised-fake-ransomware-targets-russian-orgs
3、https://iz.ru/1433190/ivan-chernousov/stiratelnyi-pocherk-gosstruktury-atakoval-novyi-virus-shifrovalshchik
来源:网空闲话