卡巴斯基的研究人员将这种数据擦除软件命名为CryWiper,表明后缀名.cry被附加到被破坏的文件后面。卡巴斯基表示,其团队已经看到该恶意软件对俄罗斯的目标发起了“精准攻击”。与此同时,《消息报》报道称,攻击目标是俄罗斯的众多市长办公室和法院。其他细节目前还不得而知,包括有多少机构受到了攻击、该恶意软件是否成功擦除了数据。
数据擦除恶意软件在过去十年中已变得越来越常见。2012年,一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司(RasGas)造成了严重破坏。四年后,Shamoon的一个新变种卷土重来,攻击了沙特阿拉伯的多家组织。2017年,一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球,造成的损失估计高达100亿美元。过去这一年出现了一系列新的数据擦除软件,其中包括DoubleZero、IsaacWiper、HermeticWiper、CaddyWiper、 WhisperGate、AcidRain、Industrer2和RuRansom。
卡巴斯基表示,它在过去几个月里发现了CryWiper的攻击企图。据《消息报》报道,该恶意软件在感染目标后留下了勒索函,索要0.5个比特币,并附有一个可支付赎金的钱包地址。
图1. 来源:卡巴斯基
卡巴斯基的报告声称,他们在仔细分析了恶意软件样本后发现,尽管这种木马伪装成勒索软件,向受害者勒索钱财以“解密”数据,但实际上并不加密数据,而是有意破坏受影响系统中的数据。此外,分析该木马的程序代码后发现,这不是开发人员的错误,而是其初衷。
CryWiper与攻击乌克兰多家组织的IsaacWiper有一些相似之处。这两种数据擦除恶意软件都使用同一种算法来生成伪随机数,这些伪随机数进而通过覆盖目标文件中的数据来破坏这些文件。这种算法的名称是Mersenne Vortexx PRNG。该算法很少被使用,所以共同性很突出。
CryWiper与名为Trojan-Ransom.Win32.Xorist和Trojan-Ransm.MSIL.Agent的勒索病毒家族有一个另外的共同之处。具体来说,三者的勒索函里的电子邮件地址都一样。
图2. 来源:卡巴斯基
卡巴斯基分析的CryWiper样本是一个64位的Windows可执行文件。它是用C++编写的,使用MinGW-w64工具包和GCC编译器编译而成。这是一种不同寻常的选择,因为用C++编写的恶意软件使用微软的Visual Studio更为常见。选择这么做的一个可能原因是,它为开发人员提供了将其代码移植到Linux的选择。考虑到CryWiper对Windows编程接口的特定调用的数量,这个原因似乎不太可能。一种更有可能的原因是,编写代码的开发人员使用非Windows设备。
成功的数据擦除恶意软件攻击常常利用糟糕的网络安全。卡巴斯基建议网络工程师采取以下预防措施:
确保端点保护的行为文件分析安全解决方案。
托管检测和响应以及安全操作中心,能够及时检测入侵,并采取行动积极响应。
动态分析邮件附件,拦截恶意文件和网址。这将使最常见的攻击途径之一:电子邮件攻击变得更加困难。
定期进行渗透测试和开展红队项目。这将有助于识别组织基础架构中的漏洞,防护漏洞,从而大大减小入侵者的攻击面。
威胁数据监控。为了及时地检测和阻止恶意活动,有必要掌握入侵者采用的战术、工具和基础设施等方面的最新信息。
鉴于俄罗斯入侵乌克兰及全球各地上演的其他地缘政治冲突,数据擦除恶意软件的发展速度在未来几个月不太可能放缓。
卡巴斯基周五的报告声称,在很多情况下,擦除恶意软件和勒索软件事件是由网络安全不足引起的,应该引起注意的是加强保护。卡巴斯基认为,网络攻击的数量(包括那些使用擦除恶意软件的攻击)会有增无减,这主要归因于全球局势不稳定。
参考及来源:https://arstechnica.com/information-technology/2022/12/never-before-seen-malware-is-nuking-data-in-russias-courts-and-mayors-offices/