Cybersecurity-Bedrohungshinweis: „Wiper“-Malware taucht inmitten des Russland-Ukraine-Konflikts auf

Themen: Russland-Ukraine

28. Feb.. 2022

Inmitten des eskalierenden geopolitischen Konflikts zwischen Russland und der Ukraine sind mehrere ukrainische Organisationen Opfer einer zerstörerischen „Wiper“-Malware geworden, die den Master Boot Record (MBR) eines Systems beschädigt und Zieldateien Dateien. Diese Angriffe dauern an, und Organisationen ohne Präsenz in der Ukraine sollten auch darauf vorbereitet sein, während sich die Situation weiterentwickelt.

Bedrohungshinweis – Technische Details und weitere Informationen

Welcher Art ist die Bedrohung?

Im Januar wurde auf den Geräten mehrerer großer Organisationen in der Ukraine eine destruktive „Wiper“-Malware gefunden, die den Inhalt betroffener Systeme ohne Wiederherstellungsmöglichkeit zerstört. Die Malware befindet sich in verschiedenen Arbeitsverzeichnissen, einschließlich C:\PerfLogs, C:\ProgramData, C:\ und C:\temp und wird oft als stage1.exe bezeichnet. Bei beobachteten Angriffen wurde die Malware über Impacket ausgeführt, eine öffentlich zugängliche Sammlung von Tools, die häufig von Bedrohungsakteuren für laterale Bewegungen und unbefugte Ausführung verwendet werden. Die ausführbare Stage1-Datei überschreibt den MBR – den Teil einer Festplatte, der einem Computer mitteilt, wie er sein Betriebssystem laden soll – mit einer Lösegeldforderung, die ausgeführt wird, wenn das Gerät heruntergefahren wird. In Wirklichkeit ist die Lösegeldforderung eine List, denn in der nächsten Phase des Angriffs wird der Inhalt der anvisierten Dateien unwiderruflich zerstört. Bei der Ausführung lädt die ausführbare Datei stage2 eine bösartige Datei herunter, die, sobald er im Speicher ausgeführt wurde, Dateien in bestimmten Verzeichnissen auf dem System des Opfers findet, die Inhalte der Datei mit einer festen Anzahl von 0xCC Bytes (Gesamtdateigröße von 1 MB) überschreibt und jede Datei mit einer scheinbar zufälligen Vier-Byte-Erweiterung umbenennt.

Warum sollte man aufmerksam sein?

Obwohl diese Angriffe bisher nur Organisationen in der Ukraine ins Visier genommen haben, könnten auch andere Nationen betroffen sein, während sich der globale Konflikt weiter entwickelt. Die russische Regierung, der mutmaßliche Täter hinter diesen Angriffen, könnte ihre Aufmerksamkeit möglicherweise auf andere Nationen richten, die sie als Herausforderung für ihre geopolitischen Ziele betrachtet, wie die USA, Kanada und das Vereinigte Königreich. Die ersten Angriffe von Wiper-Malware, die auf ukrainische Organisationen abzielten, wurde im Januar identifiziert und weitere Angriffe wurden am 23. Februar identifiziert, was zeigt, dass diese Angriffe andauern. Wenn diese Angriffe erfolgreich sind, können sie einer Organisation weitreichenden Schaden zufügen, da sie große Mengen von kritischen Daten ohne Wiederherstellungsmöglichkeit zerstören können.

Wie hoch ist das Exposure-Risiko?

Organisationen mit einer Präsenz in der Ukraine sollten als unmittelbare potenzielle Ziele dieser Malware in höchster Alarmbereitschaft sein. Organisationen außerhalb der Ukraine, die ihren Sitz in Ländern haben, die von der russischen Regierung als feindlich angesehen werden, darunter die USA, Kanada, das Vereinigte Königreich und andere westliche Nationen, sollten sich ebenfalls darauf vorbereiten, falls sie in naher Zukunft ins Visier genommen werden. Insbesondere Organisationen in den Bereichen Energie, Transport und andere kritische Infrastrukturen sollten in höchster Alarmbereitschaft sein, da sie bevorzugte Ziele vorheriger russischer Internetkriminalität-Kampagnen waren. Wenn Organisationen keinen Endpunktschutz haben, der die Ausführung böswilliger ausführbarer Dateien verhindert, werden sie höchstwahrscheinlich Opfer dieser Art von Angriffen.

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen zur Verringerung des Risikos eines erfolgreichen Wiper-Malware-Angriffs:
• Stellen Sie Endpunktschutz in Ihrer Organisation bereit und stellen Sie sicher, dass er eingerichtet ist, um die Ausführung bösartiger ausführbarer Dateien zu verhindern.
• Überwachen Sie IOCs, die mit diesen Angriffen in Verbindung stehen. Denken Sie daran, dass die aktuellen Listen nicht vollständig sind und dass weitere IOCs entstehen werden, wenn sich diese Angriffe weiterentwickeln.
• Scannen Sie Ihre Umgebung auf Malware und vergewissern Sie sich zunächst, dass Ihre Scan-Lösung mit entsprechenden Bedrohungsinformationen auf dem neuesten Stand ist.

Referenzen

Weitere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:
•https://www.cisa.gov/uscert/ncas/current-activity/2022/01/16/microsoft-warns-destructive-malware-targeting-ukrainian
• https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
• https://www.cyberscoop.com/ukraine-wiper-malware-eset-sentinelone-whispergate/
• https://twitter.com/ESETresearch/status/1496581903205511181

Bei Fragen wenden Sie sich bitte an unser Security Operations Center.

Dieser Beitrag basiert auf einem Bedrohungshinweis, der von unserem Barracuda Managed XDR-Team veröffentlicht wurde.

Daniel Park

Daniel Park ist Experte für Technologiemarketing mit Erfahrung in den Bereichen B2B und Cybersecurity. Als Content Marketing Associate für Barracuda MSP unterstützt er MSPs, die die SKOUT Managed XDR-Plattform nutzen, mit regelmäßigen Updates, Ressourcen und Tools.