Не вымогательство, а чистое искусство разрушения. Хакеры применили новую тактику против польской инфраструктуры
NewsMakerКритическая инфраструктура страны столкнулась с атакой, цель которой — чистое разрушение.
Компания ESET раскрыла технические детали атаки с использованием нового вредоносного инструмента для уничтожения данных под названием DynoWiper. Инцидент затронул энергетическую организацию в Польше и отличается тем, что был нацелен на критически важный сектор.
Команда ESET установила, что обнаруженная программа предназначена для разрушения данных на рабочих станциях и серверах. По характеру работы DynoWiper заметно похож на ранее выявленный инструмент ZOV Wiper. В обоих случаях использовались схожие техники распространения через групповые политики Active Directory и особая логика перезаписи файлов, при которой часть содержимого затирается выборочно для ускорения процесса. На основе совпадений в тактике и инструментах аналитики связывают эту операцию с известной разрушительной группировкой, однако уровень уверенности оценён как средний.
Во время атаки злоумышленники разместили в общей сетевой директории несколько вариантов исполняемых файлов и запускали их поочерёдно. Каждый следующий образец содержал незначительные модификации, что указывает на попытки обойти защитные механизмы. Установленное в инфраструктуре решение ESET PROTECT заблокировало выполнение всех версий вредоносной программы и тем самым ограничило ущерб.
DynoWiper действует поэтапно. Сначала утилита сканирует подключённые диски и перезаписывает файлы случайными данными, пропуская ряд системных каталогов. Далее в некоторых вариантах ограничения снимаются и удаление затрагивает почти всё содержимое накопителей. На завершающем этапе выполняется принудительная перезагрузка, из-за чего восстановление системы становится значительно сложнее. Подобная схема уничтожения данных прослеживается и в других известных вайперах , задействованных в атаках на критическую инфраструктуру.
Компания ESET раскрыла технические детали атаки с использованием нового вредоносного инструмента для уничтожения данных под названием DynoWiper. Инцидент затронул энергетическую организацию в Польше и отличается тем, что был нацелен на критически важный сектор.
Команда ESET установила, что обнаруженная программа предназначена для разрушения данных на рабочих станциях и серверах. По характеру работы DynoWiper заметно похож на ранее выявленный инструмент ZOV Wiper. В обоих случаях использовались схожие техники распространения через групповые политики Active Directory и особая логика перезаписи файлов, при которой часть содержимого затирается выборочно для ускорения процесса. На основе совпадений в тактике и инструментах аналитики связывают эту операцию с известной разрушительной группировкой, однако уровень уверенности оценён как средний.
Во время атаки злоумышленники разместили в общей сетевой директории несколько вариантов исполняемых файлов и запускали их поочерёдно. Каждый следующий образец содержал незначительные модификации, что указывает на попытки обойти защитные механизмы. Установленное в инфраструктуре решение ESET PROTECT заблокировало выполнение всех версий вредоносной программы и тем самым ограничило ущерб.
DynoWiper действует поэтапно. Сначала утилита сканирует подключённые диски и перезаписывает файлы случайными данными, пропуская ряд системных каталогов. Далее в некоторых вариантах ограничения снимаются и удаление затрагивает почти всё содержимое накопителей. На завершающем этапе выполняется принудительная перезагрузка, из-за чего восстановление системы становится значительно сложнее. Подобная схема уничтожения данных прослеживается и в других известных вайперах , задействованных в атаках на критическую инфраструктуру.