Các nhà nghiên cứu bảo mật quốc tế vừa đưa ra cảnh báo về một loại phần mềm độc hại xóa dữ liệu mới hiện đang được triển khai trong các chiến dịch tấn công phá hoại nhắm vào cơ sở hạ tầng mạng Ukraine. Trong nhiều trường hợp, các cuộc tấn công còn đi kèm với một mã độc tống tiền dựa trên GoLang.
Nhóm bảo mật Symantec hôm nay cho biết đã tìm thấy một chương trình độc hại dạng wiper malware có tên HermeticWiper đang được triển khai trong các chiến dịch lây nhiễm nhắm mục tiêu đến các cơ quan, tổ chức liên quan đến chính phủ Ukraine. Đây về cơ bản là một loại mã độc được thiết kể để xóa dữ liệu theo cách triệt để. Sau khi lây nhiễm thành công, HermeticWiper sẽ lập tức phá huỷ dữ liệu trên hệ thống, khiến dữ liệu không thể khôi phục lại được và đồng thời gây trục trặc cục bộ.
Symantec cũng tiết lộ một thông tin khác rất đáng quan tâm, đó là có vẻ như phần mềm tống tiền (Ransomware) đã được sử dụng làm mồi nhử hoặc đánh lạc hướng khỏi các cuộc tấn công wiper malware vốn nguy hiểm và có thể gây thiệt hại nặng nề hơn. Điều này gợi đến một số điểm tương đồng với các cuộc tấn công WhisperGate trước đó cũng nhắm tới Ukraine, khi wiper malware được ngụy trang thành ransomware.
Ransomware mồi nhử cũng đi kèm với thông báo đòi tiền chuộc trên các hệ thống bị xâm nhập, cùng những thông điệp có nội dung mang màu sắc chính trị. Thông báo đòi tiền chuộc hướng dẫn các nạn nhân liên hệ với hai địa chỉ email (vote2024forjb@protonmail.com và stephanie.jones2024@protonmail.com) để lấy lại dữ liệu đã bị mã hoá.
Các mục tiêu bị tấn công bao gồm các nhà thầu tài chính và tổ chức chính phủ của không chỉ Ukraine mà cả Latvia và Lithuania.
Mặc dù cuộc tấn công mạng được ghi nhận chủ yếu trong ngày 24/2, nhưng công ty an ninh mạng ESET lưu ý rằng phần mềm độc hại HermeticWiper có mã được biên dịch từ ngày 28/12/2021. Điều này cho thấy đây có thể là cuộc tấn công mạng đã được lên kế hoạch từ trước. Tính đến thời điểm hiện tại, đã có hàng ngàn thiết bị hoạt động trên không gian mạng Ukraine được phát hiện nhiễm loại malware nói trên.
Đáng chú ý, Symantec cũng đã tìm thấy bằng chứng về việc những kẻ tấn công đã giành được quyền truy cập vào hệ thống mạng của nạn nhân từ trước đó khá lâu, bằng cách khai thác các lỗ hổng Microsoft Exchange vào đầu tháng 11 năm 2021 và cài đặt web shell trước khi triển khai phần mềm độc hại.
Mã độc wiper sử dụng trình điều khiển EaseUS Partition Manager để làm hỏng các tệp của thiết bị bị xâm phạm trước khi khởi động lại hệ thống. Đặc biệt, trình xóa dữ liệu cũng sẽ quét sạch Master Boot Record của thiết bị, khiến tất cả các thiết bị bị lây nhiễm đều không thể khởi động được.
Song song với các cuộc tấn công lây nhiễm mã độc, hạ tầng mạng Ukraine cũng đang phải hứng chịu hàng loạt các cuộc tấn công DDoS nhắm vào một số cơ quan chính phủ và ngân hàng trọng yếu.