28 martie 2022 – Atac cibernetic asupra companiei de telecomunicații Ukrtelecom
Conform organizației NetBlocks, conexiunea de internet a furnizorului național Ukrtelecom a fost victima unui incident cibernetic ce a cauzat o scădere bruscă a traficului de aproximativ 15%. Reprezentanții companiei au anunțat că întâmpinau dificultăți în alocarea de noi sesiuni clienților, incidentul fiind rezolvat după 15 ore.
28 martie 2022 – Ferme de boți destructurate de serviciile de informații
Serviciul de securitate al Ucrainei (SBU) a anunțat faptul că de la începutul războiului și până în prezent a identificat și destructurat 5 ferme de boți (în regiunile in Kharkiv, Cherkasy, Ternopil și Zakarpattia) care operau nu mai puțin de 100.000 de conturi și 10.000 de cartele SIM pentru distribuirea de știri false despre conflict pe platformele de socializare.
28 martie 2022 – Site-uri web compromise pentru derularea de atacuri de tip DDoS (Distributed Denial-of-Service)
Au fost identificate website-uri dezvoltate pe platforma WordPress ce aveau injectate în codul-sursă script-uri care derulau atacuri cibernetice de tip DDoS asupra unor infrastructuri web din Ucraina prin exploatarea involuntară a resurselor vizitatorilor legitimi.
Lista completă cu țintele vizate:
https://stop-russian-desinformation.near.page https://gfsis.org http://93.79.82.132 http://195.66.140.252 https://kordon.io https://war.ukraine.ua https://www.fightforua.org https://bank.gov.ua https://liqpay.ua https://edmo.eu
22 martie 2022 – IoC asociați APT Scarab
CERT Ucraina a publicat în data de 22 martie o alertă de securitate privind identificarea unor indicii referitoare la distribuire unei arhive cu denumirea “On the preservation of video recordings of the criminal actions of the army of the Russian Federation.rar” / “Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.rar” care prezintă indicatori de compromitere specifici Scarab APT asociat Chinei. Nu au fost furnizate detalii suplimentare.
17 martie 2022 – Atacuri cibernetice distructive cu malware de tip wiper “DoubleZero”
Echipa CERT a Ucrainei a identificat și investigat un malware distructiv de tip wiper ce viza companiile ucrainene. Noul malware a fost botezat DoubleZero, iar ca mod de operare acesta se distinge prin aducerea sistemului de operare într-o stare de neutilizare prin suprascrierea unor fișiere de sistem și ștergerea fișierelor generate de utilizator și a unor regiștrii de pe stația infectată.
Malware-ul DoubleZero se adaugă la seria de malware distructiv care a lovit recent Ucraina, din care mai fac parte CaddyWiper, HermeticWiper și WhisperGate.
16 martie 2022 – Atac cibernetic asupra unei televiziuni ucrainene
Postul de televiziune Ukraine 24 a informat public în ziua de 16 martie 2022, că pe burtiera afișată în cadrul unui program de știri, hackerii au reuși să afișeze un mesaj fals al președintelui ucrainean Volodimir Zelenski ce îndemna la încetarea luptelor. Mesajul a fost promovat și pe rețelele de socializare prin intermediul unui video trucat cu tehnologia deepfake, în care este președintele “rostește” un mesaj către populație.
14 martie 2022 – “CaddyWiper” Malware
Cercetătorii ESET au descoperit un alt malware distructiv utilizat în atacurile împotriva unui număr limitat de organizații din Ucraina, având ca scop ștergerea datelor stocate pe stația infectată cât și informațiile de pe medii de stocare atașate. Experții în securitate cibernetică nu identificat similitudini de cod cu malware-ul HermeticWiper sau IsaacWiper. În schimb, au fost identificate indicii care sugerează că actorii din spatele CaddyWiper s-au infiltrat în rețeaua victimei înainte de a executa propriu-zis atacul.
9 martie 2022 – Campanie de distribuire a infostealer-ului FormBook
Compania de securitate cibernetică Malwarebytes a investigat o campanie de spam care distribuie prin email info-stealerul Formbook, vizând în mod special cetățenii ucraineni. Mesajul este scris în limba ucraineană și sugerează victimelor să deschidă din atașament o presupusă scrisoare de aprobare pentru a primi fonduri din partea guvernului.
15, 23 și 28 februarie 2022 – Atacuri DDoS prin intermediul botnet-ului “Zhadnost”
“Zhadnost” (în traducere din limba rusă – “lăcomie”) reprezintă denumirea dată de compania de securitate cibernetică SecurityScorecard unei rețele botnet ce însumează mai mult de 3.000 de adrese IP, distribuite în mai multe țări de pe mai multe continente. Rețeaua ar fi responsabilă de atacuri DDoS asupra site-urilor guvernului ucrainean și a unor instituții financiar-bancare din țara vecină în zilele de 15, 23 și 28 februarie (mfa.gov.ua, mil.gov.ua, mvs.gov.ua, ssu.gov.ua, kmu.gov.ua, oschadbank.ua și privatbank.ua). Majoritatea boților Zhadnost sunt echipamente router MikroTik configurate greșit și cu vulnerabilități cunoscute.
25 februarie 2022 – Punct de frontieră cu România atacat cibernetic
Potrivit expertului în securitate cibernetică Chris Kubecka, un punct de la frontiera României a fost victima unui atac cibernetic cu malware din categoria wiper, al cărui scop a fost cel mai probabil îngreunarea tranzitului refugiaților către țara noastră.
24 februarie 2022 – Sistemul satelitar KA-SAT afectat de un atac cibernetic
Potrivit companiei de telecomunicații Orange, aproape 9.000 de abonați ai unui serviciu de internet prin satelit furnizat de filiala sa Nordnet din Franța au rămas fără internet în urma unui “eveniment cibernetic” care a avut loc pe 24 februarie. De asemenea Eutelsat, compania mamă a serviciului de internet prin satelit BigBlu, a confirmat că aproximativ o treime din cei 40.000 de abonați din Germania, Franța, Ungaria, Grecia, Italia și Polonia, au fost afectați de întreruperea serviciilor.
Sursa problemelor se pare că a fost un “eveniment cibernetic” care a provocat o “întrerupere parțială a rețelei” pentru clienții “din Ucraina și din alte părți” din Europa care se bazează pe rețeaua satelitară KA-SAT operată de compania americană VIASAT. VIASAT este un contractant în domeniul apărării, atât pentru Statele Unite, cât și pentru mai mulți aliați ai acestora, iar KA-SAT a furnizat conectivitate la internet unităților militare ucrainene.
24 februarie 2022 – Rețele guvernamentale, victime ale “IsaacWiper”
Compania ESET a mai identificat un alt malware distructiv de tip wiper în rețelele guvernamentale ucrainene, care afectează entități care nu au fost atacate de malware-ul HermeticWiper și care nu prezintă nicio asemănare de cod cu acesta. A doua zi, pe 25 februarie, atacatorii au lansat o nouă versiune a IsaacWiper cu jurnale de depanare, indicând că atacatorii nu au reușit să șteargă unele dintre stațiile compromise. Conform elementelor identificate, malware-ul a fost dezvoltat cel puțin din 19 octombrie 2021.
23 – 24 februarie 2022 – “HermeticWiper / FoxBlade” Malware
O serie de organizații din Ucraina au fost afectate de un atac cibernetic, care a infectat sute de calculatoare. Atacul a implicat un nou malware de ștergere a datelor (wiper), denumit HermeticWiper – un malware distructiv care poate șterge sau corupe datele de pe un computer sau dintr-o rețea vizată. Acesta prezintă 3 componente:
• HermeticWiper: transformă stația infectată într-un echipament inoperabil prin coruperea fișierelor stocate
• HermeticWizard: distribuie malware-ul HermeticWiper în rețeaua internă
• HermeticRansom: criptează datele stocate și solicită răscumpărare
Malware-ul a fost detectat în Ucraina, Letonia și Lituania.
Articol scris de Daniel-Florin Pitiș.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter, Facebook sau Telegram.