Công cụ xóa dữ liệu CryWiper nhắm vào các tòa án và văn phòng thị trưởng Nga

Công cụ xóa mới, lần đầu tiên được phát hiện bởi Kaspersky, ban đầu xuất hiện dưới dạng ransomware. Các nhà nghiên cứu đặt tên cho nó là CryWiper, vì thực tế là nó bổ sung. phần mở rộng tệp cry thành các tệp mà nó làm hỏng

"Vào mùa thu năm 2022, các giải pháp của chúng tôi đã phát hiện ra nỗ lực tấn công mạng của một tổ chức ở Liên bang Nga của một loại Trojan chưa từng được biết đến trước đó, mà chúng tôi đặt tên là CryWiper", Kaspersky cho biết trong báo cáo mới của mình.

Trang web tin tức Nga Izvestia cho biết phần mềm độc hại đã được sử dụng trong các cuộc tấn công vào văn phòng và tòa án của thị trưởng Nga

CryWiper là một chương trình thực thi của Windows được viết bằng C++. Tệp phần mềm độc hại có tên là "browserupdate. exe" và được định cấu hình để lạm dụng một số lệnh gọi hàm WinAPI

Sau khi đã lây nhiễm thành công một hệ thống, nó sẽ sửa đổi các tệp và nối thêm phần mở rộng. KHÓC cho từng người

Nó tạo ra một README. txt với ghi chú đòi tiền chuộc, bao gồm ID lây nhiễm, địa chỉ ví Bitcoin và địa chỉ email liên hệ của người tạo phần mềm độc hại

Tin nhắn đòi tiền chuộc 0. 5 Bitcoin, hoặc khoảng 8.000 đô la, để giải mã dữ liệu. Thật không may cho nạn nhân, đây là một lời hứa sai lầm, vì không thể khôi phục dữ liệu bị hỏng

Trước đây, chúng tôi đã thấy các chủng phần mềm độc hại vô tình phát triển thành cần gạt nước, thường là do người tạo ra chúng thực hiện kém các thuật toán mã hóa. Tuy nhiên, đó không phải là trường hợp với CryWiper

Theo Kaspersky, tính năng xóa dữ liệu của CryWiper là một chiến thuật có chủ ý để xóa dữ liệu. Trojan ghi đè lên các tệp bằng dữ liệu được tạo ngẫu nhiên giả, thay vì mã hóa chúng

Thuật toán làm hỏng của CryWiper dựa trên Mersenne Twister, một trình tạo số giả ngẫu nhiên. IsaacWiper sử dụng thuật toán tương tự, mặc dù các nhà nghiên cứu không tìm thấy mối liên hệ nào nữa giữa hai chủng

CryWiper làm hỏng mọi dữ liệu không cần thiết cho hoạt động của hệ điều hành. Nó không làm thay đổi các tập tin với. dll,. exe,. msi, hoặc. tiện ích mở rộng hệ thống. Ngoài ra, nó không chạm vào các thư mục hệ thống khác được lưu trữ trong C. thư mục \Windows; . Để giúp đạt được mục tiêu này, nó loại bỏ các bản sao ẩn của tài liệu trên C. lái xe để ngăn chặn sự phục hồi của họ

Phần mềm độc hại có thể tạo các tác vụ theo lịch trình để chạy trình gạt nước cứ sau 5 phút. Nó cũng gửi tên của thiết bị được nhắm mục tiêu đến máy chủ C2 và sau đó chờ lệnh trước khi bắt đầu một cuộc tấn công

Ngoài ra, CryWiper dừng các quy trình của dịch vụ trực tuyến Active Directory, máy chủ thư Exchange, cơ sở dữ liệu SQL và máy chủ MySQL. Nó cũng vô hiệu hóa giao thức truy cập từ xa RDP, có thể khiến công việc của các nhóm ứng phó sự cố trở nên khó khăn hơn

Theo Kaspersky, CryWiper dường như không liên quan đến bất kỳ họ wiper mới nào nổi lên trong năm nay như DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain và Industroyer2

Kaspersky khuyên bạn nên quản lý cẩn thận các kết nối tới cơ sở hạ tầng của bạn, bao gồm các mạng công cộng, thông qua truy cập từ xa

Ngoài ra, người dùng nên sử dụng các ứng dụng chống vi-rút có tính năng bảo vệ phần mềm độc hại đang hoạt động, điều này sẽ hỗ trợ phát hiện và loại bỏ mọi chương trình nguy hiểm trước khi chúng có cơ hội gây hại.

Theo báo cáo từ nhà sản xuất phần mềm chống vi-rút Nga Kaspersky và hãng tin địa phương Izvestia, các tòa án tư pháp và quan chức thị trưởng ở một số khu vực của Nga đã bị tấn công bởi một trojan xóa sạch dữ liệu mới.

Được đặt tên là CryWiper, phần mềm độc hại thực hiện các chuyển động của một cuộc tấn công ransomware, nơi nó mã hóa các tệp và để lại một ghi chú đòi tiền chuộc. Nhưng các nhà nghiên cứu của Kaspersky cho biết họ đã tìm thấy bằng chứng về thói quen phá hủy dữ liệu, nghĩa là ngay cả khi nạn nhân trả tiền cho những kẻ tấn công, họ sẽ không thể khôi phục tệp của mình

Cả Kaspersky và các quan chức chính phủ Nga đều không chính thức quy CryWiper cho bất kỳ nhóm hoặc tổ chức cụ thể nào, nhưng các cuộc tấn công trong tháng qua rất có thể liên quan đến cuộc xung đột Nga-Ukraine, liên quan đến việc triển khai nhiều công cụ gạt nước, ở cả hai phía của cuộc xung đột

Ukraine bị ảnh hưởng nhiều nhất với các cần gạt nước như WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper và DoubleZero

Nga cũng không được tha, bị tấn công vào tháng 3 bởi một trình quét khác giả làm ransomware bình thường, một trình quét có tên RuRansom

Một công cụ xóa dữ liệu không có giấy tờ trước đây có tên CryWiper đang giả dạng ransomware, nhưng trên thực tế, phá hủy dữ liệu không thể phục hồi trong các cuộc tấn công vào văn phòng và tòa án của thị trưởng Nga

“Vào mùa thu năm 2022, các giải pháp của chúng tôi đã phát hiện ra nỗ lực tấn công mạng của một tổ chức ở Liên bang Nga của một Trojan chưa từng được biết đến trước đây mà chúng tôi đặt tên là CryWiper,” báo cáo mới của Kaspersky giải thích.

Khi phân tích mã cho thấy, chức năng xóa dữ liệu của CryWiper không phải là một lỗi mà là một chiến thuật có mục đích để phá hủy dữ liệu của mục tiêu

CryWiper sẽ dừng các quy trình quan trọng liên quan đến MySQL, máy chủ cơ sở dữ liệu MS SQL, máy chủ email MS Exchange và dịch vụ web MS Active Directory để giải phóng dữ liệu bị khóa để tiêu hủy

Mặc dù CryWiper không phải là phần mềm tống tiền theo nghĩa thông thường, nhưng nó vẫn có thể gây ra sự phá hủy dữ liệu nghiêm trọng và gián đoạn kinh doanh

Kaspersky cho biết CryWiper dường như không liên kết với bất kỳ họ wiper nào mới nổi vào năm 2022, như DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain và Industroyer2

URL tin tức

https. //www. máy tính chảy máu. com/news/security/new-crywiper-data-wiper-targets-russian-courts-mayor-s-offices/