ESET Research belicht het verloop van de digitale invasie van Oekraïne

ESET Research heeft een tijdlijn opgesteld met alle wiper-malware cyberaanvallen die plaatsvonden sinds de Russische invasie van Oekraïne in 2022. Het overgrote deel van deze aanvallen is toegeschreven aan Sandworm, met verschillende mate van waarschijnlijkheid. Het overzicht bevat aanvallen die door ESET zijn waargenomen, maar ook enkele die door andere gerenommeerde bronnen zoals CERT-UA, Microsoft en SentinelOne zijn gemeld.

De tijdlijn begint met WhisperGate-malware op 14 januari 2022, gevolgd door vele andere aanvallen, waaronder de ontdekking van CaddyWiper. Gedurende het voorjaarsoffensief van 2022 richtten de Wiper-aanvallen zich op verschillende Oekraïense instellingen, waarbij onder andere HermeticWiper, HermeticWizard en HermeticRansom werden ingezet. Op 24 februari 2022, toen de Russische invasie begon, werd een tweede destructieve cyberaanval op een Oekraïens overheidsnetwerk uitgevoerd met een Wiper die IsaacWiper werd genoemd.

Tijdens de zomermaanden werden er minder nieuwe Wiper-campagnes ontdekt dan in de voorgaande maanden, maar er vonden nog wel verschillende opmerkelijke aanvallen plaats. In samenwerking met CERT-UA heeft ESET onderzoek gedaan naar de inzet van ArguePatch en CaddyWiper gericht op Oekraïense instellingen bij twee incidenten in juni.

Gedurende het herfstoffensief werden er nieuwe versies van CaddyWiper en HermeticWiper ontdekt, evenals een nieuwe wiper genaamd NikoWiper. Prestige ransomware werd ingezet tegen logistieke bedrijven in Oekraïne en Polen, en er werd een nieuwe ransomware ontdekt genaamd RansomBoggs. CERT-UA melde daarnaast een aanval met Somia imitatie-ransomware.

Ook dit jaar blijven de ontwrichtende aanvallen op Oekraïense organisaties onverminderd doorgaan. Zo zagen we executie van het hulpprogramma SDelete – gerelateerd aan NikoWiper -  bij een Oekraïense softwareverkoper. Vond er op 17 januari 2023 een aanval met meerdere wipers plaats tegen een Oekraïens persbureau. En ontdekten we op 25 januari een nieuwe wiper genaamd SwiftSlicer, die werd ingezet tegen lokale overheidsinstanties.

Het gebruik van ontwrichtende wipers - en zelfs als ransomware vermomde wipers - door Russische APT-groepen, met name Sandworm, tegen Oekraïense organisaties is niet nieuw. Maar de intensivering van de wiper-campagnes sinds de militaire invasie in februari 2022 is ongekend. Positief is dat veel van de aanvallen zijn ontdekt en verijdeld. ESET Research blijft de situatie nauwlettend volgen en roept organisaties op om waakzaam te blijven en zich te beschermen tegen Wiper-malware en andere cyberdreigingen ontstaan door de oorlog in Oekraïne.

Meer informatie over de Wiper-aanvallen in Oekraïne en de tijdlijn inclusief vermeldingen vind je op WeLiveSecurity.