Ситуация имеет некоторое сходство с более ранними атаками вайпера WhisperGate.

Новое вредоносное ПО для стирания данных, развернутое в украинских сетях в ходе деструктивных атак , в некоторых случаях сопровождалось приманкой в виде программы-вымогателя на языке программирования GoLang.

«В нескольких атаках, расследованных Symantec, программы-вымогатели также были развернуты против пострадавших организаций одновременно с вайпером. Как и в случае с вайпером, для развертывания программ-вымогателей использовались запланированные задачи», — сообщили специалисты Symantec.

По словам специалистов, программа-вымогатель использовалась в качестве приманки или отвлечения внимания от атак вайпера. Ситуация имеет некоторое сходство с более ранними атаками вайпера WhisperGate на Украину.

Вымогатель также оставляла записку с требованием выкупа на скомпрометированных системах с политическим посланием, в котором говорилось: «The only thing that we learn from new elections is we learned nothing from the old!» («Единственное, чему мы учимся на новых выборах, это то, что мы ничему не научились на старых!»). В записке с требованием выкупе жертвам предлагается обратиться по двум адресам электронной почты с целью вернуть свои файлы.

Вайпер, получивший название HermeticWiper, был использован во время недавних атак на украинские организации, а также попал в системы за пределами Украины. От действий вредоноса также пострадали финансовые и государственные подрядчики из Украины, Латвии и Литвы.

Вредоносное ПО использует драйверы EaseUS Partition Manager для повреждения файлов скомпрометированных устройств перед перезагрузкой компьютера. Вредонос также уничтожает основную загрузочную запись устройства, делая все зараженные устройства не загружаемыми.

Источник: securitylab