Wipermalware wordt grootschalig ingezet bij Oekraïneoorlog

zo, 26/02/2023 - 20:44

Door: Redactie WINMAG Pro

In tijden van oorlog gebeuren er vreemde zaken. Zo ook op het gebied van cybercriminaliteit.

Door: Frank van der Gaarden, channel manager Fortinet

Fortinets onderzoeksteam FortiGuard zag dat sinds het begin van 2022, rond de start van de oorlog tussen Rusland en Oekraïne, er een flinke piek was van wipermalware. Een wiper heeft slechts één doel: gebruikersgegevens wissen zodat ze niet meer hersteld kunnen worden. Wipers worden dus gebruikt om computernetwerken te vernietigen. Talloze nieuwe wipers waren vorig jaar gericht op Oekraïense doelwitten en toonden een kant van cyberaanvallen die slechts zelden te zien is, namelijk totale verwoesting. Wat gebeurde er precies, en hoe hebben wipermalware en de aanvalscenario’s zich ontwikkeld?

Wipers als oorlogswapen

Veel varianten van wipermalware die in de eerste helft van 2022 geobserveerd werden en niet altijd aan een specifieke groep cybercriminelen konden worden toegeschreven, waren gericht tegen Oekraïense organisaties.

Een interessant fenomeen was de wipermalware AcidRain. Deze richtte zich op de satellietmodems van een wereldwijde aanbieder van communicatieverbindingen via de satelliet. AcidRain zorgde ervoor dat de modems hun verbinding met het satellietnetwerk verloren. De boodschap was duidelijk: ook als een cyberaanval louter bedoeld is om een specifiek land zoals Oekraïne aan te vallen, kan er nog altijd een domino-effect optreden zodat ook andere landen en organisaties worden getroffen. Het is van cruciaal belang om dergelijke nieuwe aanvallen op de voet te volgen.

De beweegreden: hacktivisme

Naarmate het jaar vorderde nam het pro-Russische hacktivisme toe. Zo wees telemetrische data op een groeiend aantal DDOS-aanvallen op Scandinavische landen, en Finland in het bijzonder. Cybercriminelen gingen over tot het omvormen van hun ransomware tot wipers door geen decryptiesleutel te bieden. En als er geen ontsleuteling van bestanden wordt aangeboden, fungeert ransomware in feite als een wiper. Cybercriminelen begonnen dit opzettelijk te doen.

Een voorbeeld was de inzet van de Somnia-ransomware tegen diverse Oekraïense organisaties. De aanvallers infecteerden systemen met behulp van een valse versie van een installatieprogramma om een langdurige aanwezigheid binnen systemen te verkrijgen. En net zoals bij de meeste ransomware-aanvallen smokkelden ze data . Aan het einde van de aanval boden ze echter geen decryptor aan. Hierdoor bleven de bestanden versleuteld en onbruikbaar.

De meest fascinerende wiper van het jaar

De meest intrigerende wiper die we in de tweede helft van 2022 documenteerden droeg de naam Azov. De tweede versie hiervan trok al snel de aandacht van de media, omdat die een boodschap namens bekende beveiligingsonderzoekers afleverde. Deze onderzoekers ontkenden echter alle betrokkenheid. De wiper leverde daarnaast een pro-Oekraïense boodschap af en beweerde te zijn ontwikkeld om meer aandacht te vragen voor de oorlog tussen Rusland en Oekraïne. Feit is echter dat Azov nog altijd niet tot een specifieke persoon of groep is herleid.

Aanvallen op operationele technologie (OT)

OT-omgevingen werden eveneens door de nodige wipers getroffen. We noemden al de aanval tegen de aanbieder van het satellietnetwerk (en in het verlengde daarvan de aanval op Duitse windmolens). Een andere interessante aanval was die met de malware Industroyer.V2 op hoogspanningsstations in Oekraïne. Deze aanval had ten doel om de elektrische relais zodanig te manipuleren dat de hoogspanningsstations uitvielen. Traditionele wipers zijn uit op de vernietiging van de kroonjuwelen van IT-omgevingen, oftewel de data. Industroyer.V2 werd gebruikt om de kroonjuwelen van het hoogspanningsstation te vernietigen, namelijk de besturingseenheden.

Alsof dat niet erg genoeg was, werd de Industroyer.V2-malware ingezet in combinatie met drie andere wipers die mogelijk van verschillende cybercriminelen afkomstig zijn: CaddyWiper voor Windowssystemen, AWFULSHRED voor Linux- en Unixsystemen en SOLOSHRED voor Solarissystemen. Dit dient als herinnering dat OT-omgevingen actief op de korrel worden genomen door uiteenlopende typen cybercriminelen, van makers van ransomware tot staatshackers.

De ontwikkeling van een nieuwe wiper

Een interessant nieuw project dat onze aandacht verdient is de wiper Endurance, een open source wiper met de ogenschijnlijke ambitie om uit te groeien tot ransomware. Endurance beschikt momenteel over drie modi voor het wissen van bestanden. Elke modus bepaalt hoe vaak de inhoud van bestanden moet worden overschreven. De wiper bezit een functie voor het verwijderen van de inhoud van bestanden en een functie voor bestandsverwijdering , deze werkt alle bestandskenmerken bij en wist daarop bestanden van de schijf.

2022 - jaar van de wiper

2022 bood nieuwe perspectieven op verwoestende malware. Er werden verschillende wipingtechnieken, beweegredenen, spelers en toepassingsscenario’s geobserveerd. Nieuwe wipervarianten zoals Azov en Endurance laten zien dat cybercriminelen zich actief toeleggen op steeds kwaadaardiger activiteiten. Ze proberen een oplossing te bieden voor de kortere detectie- en responstijden van securityteams door het optimaliseren van de prestaties van hun wipingstrategieën. Daarnaast krijgen cybercriminelen steeds meer belangstelling voor OT-netwerken. Dat blijkt onder meer uit het voorbeeld van de malware Industroyer.V2. Het is duidelijk welke kant het opgaat: cybercriminelen houden zich niet langer in en voeren hun aanvallen steeds vaker uit met één doel: het totaal vernietigen van hun doelwit.