Weitere Malware und Würmer bei Cyberattacken in der Ukraine entdeckt
Nachdem anfangs die Malware HermeticWiper in der Ukraine aktiv wurde, melden Forscher von Antivirenunternehmen Funde weiterer Schädlinge, darunter auch Würmern.
(Bild: vectorfusionart/Shutterstock.com)
Kurz vor dem Überfall Russlands auf die Ukraine startete eine Malware damit, Daten auf Rechnern in der Ukraine zu löschen – HermeticWiper. Inzwischen haben Forscher des Antivirenherstellers Eset weitere Komponenten und Malware gefunden, die ähnlich destruktiv vorgehen und sich sogar wurm-artig in Netzwerken verbreiten.
Eset liefert zudem weitere Details zu den Angriffen mit HermeticWiper. Die Angreifer arbeiteten mit drei unterschiedlichen Schädlingskomponenten: HermeticWiper, das ein System durch Löschen der Daten unbrauchbar macht; HermeticWizard, der HermeticWiper im Netzwerk per Windows Management Instrumentation (WMI) und Netzwerkfreigaben (SMB) verteilt und schließlich HermeticRansom, einer in der Programmiersprache Go implementierten Ransomware.
Diese Schadsoftwarekombination habe man auf hunderten Rechnern von mindestens fünf Organisationen gefunden. In einer weiteren Regierungsorganisation, die nicht von HermeticWiper betroffen war, spürten die Virenforscher eine weitere Malware namens IsaacWiper auf. Beide Malware-Familien wiesen keine Ähnlichkeiten zu anderen Samples auf und ließen sich noch keinen bekannten Bedrohungsakteuren zuordnen.
Infektionsgeschehen
Bei HermeticWiper konnten die IT-Sicherheitsforscher feststellen, dass die Angreifer schon früher in das Netzwerk eingebrochen sein müssen. Die Malware wurde mindestens bei einer Einrichtung per Gruppenrichtlinien im Active Directory verteilt. In anderen Fällen sei die Schadsoftware per python-basiertem lmpacket-Toolkit verteilt worden.
Der Wurm, den Eset gefunden hat, ist HermeticWizard, der per WMI und SMB die Malware in den kompromittierten Netzwerken weiter verbreitet hat. HermeticRansom wurde nur sehr selten gefunden, aber in einigen Fällen ebenfalls per Gruppenrichtlinie verteilt. Nach Verschlüsselung der Dateien zeigt dieser Schädling dann eine der bekannten Meldungen an, wie die Erpresser zu erreichen sind; eine konkrete Lösegeldforderung taucht darin jedoch nicht auf.
(Bild: Eset / WeLiveSecurity-Blog)
Bei IsaacWiper ist der initiale Infektionsvektor noch unbekannt. Auf einigen infizierten Maschinen fanden die Virenanalysten jedoch das Remote Access Toolkit (RAT) RemCom, das zur gleichen Zeit wie IsaacWiper verteilt wurde. Der Code habe keine Gemeinsamkeiten mit HermeticWiper. Der Zeitpunkt des Kompilierens war am 19. Oktober 2021, einige Monate vor HermeticWiper. Zudem sei IsaacWiper wesentlich weniger ausgeklügelt.
Bislang waren die Cyberangriffe auf die Ukraine beschränkt. Im weiteren Verlauf könnten jedoch auch die Länder ins Visier der Angreifer geraten, die die Ukraine unterstützen, warnt Eset.
(dmk)
