在俄罗斯军事入侵之前,破坏性网络攻击袭击了多个乌克兰实体,据观察,目标是未具名的乌克兰政府网络上部署了一种新的数据擦除恶意软件。斯洛伐克网络安全公司ESET称为“IsaacWiper”的新恶意软件表示,它于2月24日在不受HermeticWiper(又名FoxBlade)影响的组织中检测到,这是另一种数据擦除恶意软件,2月23日将多个组织作为破坏活动的一部分旨在使机器无法使用的活动。对感染至少五个乌克兰组织的HermeticWiper攻击的进一步分析揭示了一个蠕虫组件,该蠕虫组件在受感染的网络中传播恶意软件,以及一个勒索软件模块,该模块充当“从擦除器攻击中分散注意力”,证实了赛门铁克之前的报告。赛门铁克认为,这些破坏性攻击至少利用了三个组件:擦除数据的HermeticWiper、在本地网络上传播的HermeticWizard以及充当诱饵勒索软件的HermeticRansom。在对新的基于Golang的勒索软件的单独分析中,俄罗斯网络安全公司卡巴斯基将该恶意软件代号为“选举GoRansom”,并将其描述为最后一刻的操作,并补充说它“可能被用作HermeticWiper的烟幕攻击,由于其不成熟的风格和糟糕的执行力。“作为一种反取证措施,HermeticWiper还通过用随机字节覆盖自己的文件来从磁盘上擦除自己,从而阻碍分析。ESET表示,它没有找到“任何有形的联系”来将攻击归因于已知的威胁行为者,恶意软件工件表明入侵已经计划了好几个月,更不用说目标实体提前被入侵的事实雨刷器的部署。ESET威胁研究负责人Jean-IanBoutin表示:“这是基于几个事实:HermeticWiperPE编译时间戳,最早是2021年12月28日;代码签名证书是2021年4月13日颁发的;HermeticWiper是至少在一个实例中通过默认域策略部署,这表明攻击者之前可以访问受害者的ActiveDirectory服务器之一”同样未知的是用于部署两个擦除器的初始访问向量,尽管攻击者怀疑攻击者使用用于横向移动和恶意软件分发的工具,例如Impacket和远程访问软件RemCom。此外,IsaacWiper与HermeticWiper没有代码级重叠并且不那么复杂,即使它在继续执行其文件擦除操作之前开始枚举所有物理和逻辑驱动器。“2022年2月25日,攻击者投放了带有调试日志的新版本IsaacWiper。这可能表明攻击者无法擦除某些目标机器并添加了日志消息以了解发生了什么,”研究人员说。
