logo ESET software spol. s r. o.

Michal Cebák

Bezpečnostní analytik společnosti ESET

Michal Cebák - ESET software spol. s r. o.logo ESET software spol. s r. o.LinkedIn

Na základě prvních analýz vidíme jasnou souvislost s útoky na ukrajinskou rozvodnou síť z roku 2016, jejichž následkem došlo k masivním výpadkům elektřiny. Nyní byly použity inovované útočné nástroje, zejména malware Industroyer v nové verzi, ale pachatel byl s největší pravděpodobností totožný - ruskojazyčná útočná skupina Sandworm, která je spojována s ruskou zpravodajskou službou GRU.

Kromě Industroyeru2 byly pro útok použity další škodlivé kódy. Detekovali jsme vzorky malware zahrnující mimo jiné i CaddyWiper, se kterým jsme se setkali při útocích na ukrajinské finanční instituce v polovině března.

V tuto chvíli nevíme, jak přesně došlo k infikování napadené organizace, to je předmětem dalšího vyšetřování.

Martin Skýpala

Produktový manažer české pobočky společnosti ESET

Martin Skýpala - ESET software spol. s r. o.logo ESET software spol. s r. o.

Produkty ESET Smart Security Premium, ESET Internet Security a ESET NOD32 Antivirus pro operační systém Windows na zařízeních s ARM nabízejí celou řadu preventivních a detekčních technologií i pro běžné uživatele.

Byli to právě testeři z řad domácích uživatelů a jejich zpětná vazba a postřehy, které nám pomohly otestovat beta verze našich produktů a připravit bezpečnostní řešení pro zařízení s ARM v takové kvalitě, která je u našich produktů standardem.

V nabídce funkcí nechybí např. ESET LiveGuard, ESET Password Manager nebo webový portál ESET HOME, který uživatelům nabídne správu licencí všech členů rodiny či přátel na jednom místě.

Michal Cebák

Bezpečnostní analytik společnosti ESET

Michal Cebák - ESET software spol. s r. o.logo ESET software spol. s r. o.LinkedIn

CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít.

S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války.

I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory.

Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů.

Miroslav Dvořák

Technický ředitel společnosti ESET

Miroslav Dvořák - ESET software spol. s r. o.logo ESET software spol. s r. o.LinkedIn

Spolupráce se společností Intel je krokem k okamžitému zvýšení úrovně ochrany, kterou právě integrace hardwarové technologie pro detekci ransomwaru přináší. Využití telemetrie a strojového učení, které poskytuje přímo procesor, je účinným krokem, který umožní lepší sledování běžících procesů a odhalení jejich škodlivého chování, v tomto případě nevyžádaného šifrování souborů. Pro ESET to v podstatě znamená možnost odhalit i takový ransomware, který se snaží vyhnout své detekci v paměti zařízení.

ESET vždy věřil ve vícevrstvý přístup a s přidáním detekce na úrovni hardware si uvědomujeme, že tento způsob ochrany je dalším milníkem v boji proti kybernetickým hrozbám. Současně tato zvýšená ochrana nepředstavuje viditelný dopad na výkon zařízení - k analýze a zpracování je totiž využívána integrovaná grafická jednotka (GPU).

Nízký dopad na výkon systému je oblast, kterou ESET v rámci své vícevrstvé softwarové architektury vždy upřednostňoval, a která je pro mnoho našich klientů důvodem, proč si naše řešení koupit. Využití technologií, které nám pomohou s prevencí a ochranou, a zároveň zachovají výkon, je pro obě strany výhodná volba.

Michal Cebák

Bezpečnostní analytik společnosti ESET

Michal Cebák - ESET software spol. s r. o.logo ESET software spol. s r. o.LinkedIn

Pokud jde o IsaacWiper, v současné době vyhodnocujeme jeho případné propojení s HermeticWiperem. Je důležité poznamenat, že byl detekován v souvislosti s ukrajinskou vládní organizací, která nebyla zasažena HermeticWiperem.

Postižené organizace byly kompromitovány s dostatečným předstihem ještě před nasazením wiperu - toto naše tvrzení podporuje několik dalších zjištění, jako jsou časové značky kompilace spustitelného souboru obsahujícího HermeticWiper, z nichž nejstarší je z 28. 12. 2021, data vydání certifikátu pro podpis kódu z 13. dubna 2021 a v jednom zjištěném případě také nasazení malwaru HermeticWiper prostřednictvím výchozí doménové politiky.

Všechny tyto parametry a skutečnosti naznačují, že útočníci již měli přístup k jednomu ze serverů Active Directory, které patřily oběti.