ESET Research heeft een tijdlijn opgesteld met alle wiper-aanvallen die plaatsvonden sinds de Russische invasie van Oekraïne in 2022.
ESET Research presenteert een overzicht van de ontwrichtende wiper-aanvallen die door ESET werden waargenomen in Oekraïne sinds begin 2022, kort voordat de Russische militaire invasie begon. Het overgrote deel van deze aanvallen hebben we toegeschreven aan Sandworm, met uiteenlopende mate van waarschijnlijkheid. Dit overzicht bevat aanvallen die door ESET zijn gezien, maar ook enkele die door andere gerenommeerde bronnen zoals CERT-UA, Microsoft en SentinelOne zijn gemeld.
Voorafgaand aan de invasie
Tussen de talrijke golven aan DDoS-aanvallen op Oekraïense instellingen sloeg de WhisperGate-malware toe op 14 januari 2022. Deze wiper vermomde zich als ransomware, als echo op NotPetya uit juni 2017 - een tactiek die ook bij latere aanvallen zou voorkomen. Vlak voor de invasie, op 23 februari 2022, richtte een destructieve campagne met HermeticWiper zich op honderden systemen van ten minste vijf Oekraïense organisaties. Deze datawiper werd net voor 17:00 lokale tijd (15:00 UTC) voor het eerst opgemerkt: de cyberaanval ging slechts enkele uren vooraf aan de invasie van Oekraïne door de strijdkrachten van de Russische Federatie. Naast HermeticWiper werden ook de HermeticWizard-worm en imitatie-ransomware HermeticRansom ingezet in de campagne.
Aanvallen tijdens de invasie en het voorjaarsoffensief
Op 24 februari 2022, terwijl de Oekraïense winter ontdooide en de Russische invasie begon, werd een tweede destructieve cyberaanval op een Oekraïens overheidsnetwerk uitgevoerd met een wiper die wij IsaacWiper hebben genoemd. Op diezelfde dag richtte de AcidRain wiper-campagne zich op Viasat KA-SAT-modems, met ook spill-over gevolgen buiten Oekraïne. Een andere wiper, die aanvankelijk door Microsoft werd onthuld, is DesertBlade, die naar verluidt werd ingezet op 1 maart 2022 en opnieuw rond 17 maart 2022. In datzelfde rapport wordt ook melding gemaakt van aanvallen met wipers uit de Hermetic-campagne namelijk:
- HermeticWiper (Microsoft noemt het FoxBlade) rond 10 maart 2022
- HermeticRansom (Microsoft noemt het SonicVote) rond 17 maart 2022
- een aanval rond 24 maart 2022 waarbij zowel HermeticWiper als HermeticRansom werden gebruikt.
CERT-UA meldde daarnaast de ontdekking van de DoubleZero wiper op 17 maart 2022. Op 14 maart 2022 ontdekten ESET-onderzoekers een aanval met CaddyWiper, gericht op een Oekraïense bank. Op 1 april ontdekten we CaddyWiper nogmaals. Dit keer was de wiper geladen door de ArguePatch loader. Dat is een aangepast, legitiem programma dat meestal wordt gebruikt om code vanuit een extern bestand te laden. We ontdekten een soortgelijk scenario op 16 mei 2022, waar ArguePatch de vorm aannam van een aangepaste ESET binary.
Dezelfde combinatie van ArguePatch en Caddywiper detecteerden wij nogmaals op 8 april. Dit keer werd de combinatie ingezet voor misschien wel de meest ambitieuze Sandworm-aanvallen sinds het begin van de invasie: hun mislukte poging om de elektriciteitsstroom te verstoren met behulp van Industroyer2. Naast ArguePatch en CaddyWiper ontdekten we in dit incident ook wipers voor andere platforms dan Windows: ORCSHRED, SOLOSHRED en AWFULSHRED. Voor meer details, zie de melding door CERT-UA, en onze WeLiveSecurity blogpost.
Een kalmere zomer
In de zomermaanden werden in Oekraïne minder nieuwe wiper-campagnes ontdekt dan in de voorgaande maanden, toch vonden er verschillende opmerkelijke aanvallen plaats.
In samenwerking met CERT-UA hebben we onderzoek gedaan naar de inzet van ArguePatch (en CaddyWiper) gericht op Oekraïense instellingen. Het eerste incident vond plaats in de week van 20 juni 2022, en een tweede op 23 juni 2022.
Aanvallen tijdens het herfstoffensief
Met dalende temperaturen in aanloop naar de winter, ontdekten we op 3 oktober 2022 een nieuwe versie van CaddyWiper in Oekraïne. In tegenstelling tot de eerder gebruikte varianten was CaddyWiper dit keer samengesteld als een x64 Windows binary.
Op 5 oktober 2022 identificeerden we een nieuwe versie van HermeticWiper die was geüpload naar VirusTotal. De werking van dit HermeticWiper sample was hetzelfde als in de vorige aanvallen, met een paar kleine wijzigingen.
Op 11 oktober 2022 detecteerden we Prestige ransomware die werd ingezet tegen logistieke bedrijven in Oekraïne en Polen. Deze campagne werd ook gemeld door Microsoft.
Diezelfde dag identificeerden we ook een voorheen onbekende wiper, die we NikoWiper noemden. Deze wiper werd gebruikt tegen een bedrijf in de energiesector in Oekraïne. NikoWiper is gebaseerd op het Microsoft-hulpprogramma SDelete voor het veilig verwijderen van bestanden.
Een maand later, op 11 november 2022 publiceerde CERT-UA een blogpost over een aanval met de Somia imitatie-ransomware. En op 21 november 2022 ontdekten we in Oekraïne nieuwe ransomware geschreven in .NET die we RansomBoggs noemden. De ransomware heeft meerdere verwijzingen naar de film Monsters, Inc. We ontdekten dat de mensen achter de malware POWERGAP-scripts gebruikten om deze bestandscodering te implementeren.
Januari 2023
Vanaf het begin van 2023 gaan de ontwrichtende aanvallen op Oekraïense organisaties onverminderd door. Op 1 januari 2023 ontdekten we uitvoer van het hierboven benoemde hulpprogramma SDelete bij een Oekraïense softwareverkoper.
Een andere aanval met meerdere wipers, ditmaal gericht tegen een Oekraïens persbureau, vond volgens CERT-UA plaats op 17 januari 2023. Bij deze aanval werden de volgende wipers gedetecteerd: CaddyWiper, ZeroWipe, SDelete, AwfulShred en BidSwipe. BidSwipe is opmerkelijk, omdat het een FreeBSD OS-wiper is.
Op 25 januari 2023 ontdekten we een nieuwe wiper, geschreven in Go en die we SwiftSlicer noemden. Deze wiper werd ingezet tegen Oekraïense lokale overheidsinstanties. In bijna alle bovengenoemde gevallen gebruikte Sandworm het Active Directory Group Policy (T1484.001) om zijn wipers en ransomware in te zetten, met name met behulp van het POWERGAP-script.
Concluderend
Het gebruik van ontwrichtende wipers - en zelfs als ransomware vermomde wipers - door Russische APT-groepen, met name Sandworm, tegen Oekraïense organisaties is niet nieuw. Sinds ongeveer 2014 gebruikte BlackEnergy ontwrichtende plugins; de KillDisk-wiper was in het verleden een gemeenschappelijke noemer in Sandworm-aanvallen; en de subgroep Telebots heeft talrijke wiper-aanvallen gelanceerd, waarvan NotPetya de bekendste was.
Toch is de intensivering van de wiper-campagnes sinds de militaire invasie in februari 2022 ongekend. Positief is dat veel van de aanvallen zijn ontdekt en verijdeld. We blijven de situatie nauwlettend volgen, want we verwachten dat de aanvallen zullen aanhouden.
Meer informatie en de indicators of compromise (IOCs) van deze wipers vind je op WeLiveSecurity.