Η υποστηριζόμενη από το ρωσικό κράτος ομάδα χάκερ Sandworm έχει αναπτύξει πολλές οικογένειες κακόβουλου λογισμικού που σκουπίζουν δεδομένα σε επιθέσεις που στοχεύουν την εκπαίδευση, την κυβέρνηση και τον τομέα των σιτηρών της Ουκρανίας, την κύρια πηγή εσόδων της χώρας.
Οι επιθέσεις σημειώθηκαν τον Ιούνιο και τον Σεπτέμβριο, λέει η εταιρεία κυβερνοασφάλειας ESET σε σημερινή έκθεση, και συνεχίζουν τη σειρά καταστροφικών επιχειρήσεων του Sandworm (γνωστός και ως APT44) στην Ουκρανία.
Όπως υποδηλώνει το όνομα, ο σκοπός ενός υαλοκαθαριστήρα δεδομένων είναι να καταστρέψει τις ψηφιακές πληροφορίες ενός στόχου καταστρέφοντας ή διαγράφοντας αρχεία, διαμερίσματα δίσκου και κύριες εγγραφές εκκίνησης με τρόπο που δεν επιτρέπει την ανάκτηση. Ο αντίκτυπος στον στόχο μπορεί να είναι καταστροφικός, δημιουργώντας διαταραχές από τις οποίες είναι δύσκολο να ανακτηθούν.
Σε αντίθεση με το ransomware, όπου τα δεδομένα συνήθως κλέβονται και στη συνέχεια κρυπτογραφούνται, το κακόβουλο λογισμικό υαλοκαθαριστήρων χρησιμοποιείται αποκλειστικά σε επιχειρήσεις σαμποτάζ.
Μετά τη ρωσική εισβολή, η Ουκρανία έγινε στόχος πολυάριθμων εκστρατειών υαλοκαθαριστήρων, οι περισσότερες από τις οποίες αποδίδονται σε Ρώσους κρατικούς φορείς, συμπεριλαμβανομένων των PathWiper, HermeticWiper, CaddyWiper, Whispergate και IsaacWiper.
Οι καταστροφικές επιθέσεις συνεχίζονται
Η νέα έκθεση της ESET καλύπτει τη δραστηριότητα προηγμένης επίμονης απειλής (APT) μεταξύ Απριλίου και Σεπτεμβρίου 2025 και παρουσιάζει αρκετές περιπτώσεις υαλοκαθαριστήρων που έχουν αναπτυχθεί στην Ουκρανία, ορισμένες από τις οποίες στοχεύουν την παραγωγή σιτηρών της χώρας.
Αυτή είναι μια νέα εξέλιξη, καθώς οι επιτιθέμενοι δείχνουν ότι οι επιτιθέμενοι επικεντρώνονται πλέον στον ζωτικό οικονομικό τομέα της Ουκρανίας, καθώς οι εξαγωγές σιτηρών είναι η κύρια πηγή εισοδήματος, ειδικά κατά τη διάρκεια του πολέμου.
«Τον Ιούνιο και τον Σεπτέμβριο, η Sandworm ανέπτυξε πολλαπλές παραλλαγές κακόβουλου λογισμικού σκουπίσματος δεδομένων εναντίον ουκρανικών οντοτήτων που δραστηριοποιούνται στους τομείς της κυβέρνησης, της ενέργειας, της εφοδιαστικής και των σιτηρών». εξηγεί η ESET.
«Αν και οι τέσσερις είχαν προηγουμένως τεκμηριωθεί ως στόχοι επιθέσεων με υαλοκαθαριστήρες κάποια στιγμή από το 2022, ο τομέας των σιτηρών ξεχωρίζει ως όχι και τόσο συχνός στόχος».
«Λαμβάνοντας υπόψη ότι οι εξαγωγές σιτηρών παραμένουν μια από τις κύριες πηγές εσόδων της Ουκρανίας, μια τέτοια στόχευση πιθανότατα αντανακλά μια προσπάθεια αποδυνάμωσης της πολεμικής οικονομίας της χώρας».
Το APT44 ανέπτυξε επίσης υαλοκαθαριστήρες «ZeroLot» και «Sting» τον Απρίλιο του 2025, στοχεύοντας ένα πανεπιστήμιο στην Ουκρανία. Το Sting εκτελέστηκε μέσω μιας προγραμματισμένης εργασίας των Windows που ονομάστηκε έτσι από το παραδοσιακό ουγγρικό πιάτο γκούλας.
Σημειώνεται ότι η αρχική πρόσβαση για ορισμένα από αυτά τα περιστατικά επιτεύχθηκε από το UAC-0099, το οποίο στη συνέχεια μετέφερε την πρόσβαση στο APT44 για ανάπτυξη υαλοκαθαριστήρα.
Το UAC-0099 είναι ένας παράγοντας απειλής που λειτουργεί τουλάχιστον από το 2023 και φαίνεται να επικεντρώνει τις επιθέσεις του σε ουκρανικούς οργανισμούς.
Οι ερευνητές σημειώνουν ότι ενώ το Sandworm έδειξε πρόσφατα μεγαλύτερη εστίαση σε επιχειρήσεις κατασκοπείας, οι επιθέσεις με υαλοκαθαριστήρες δεδομένων εναντίον ουκρανικών οντοτήτων παραμένουν μια συνεχής δραστηριότητα για την ομάδα απειλών.
Η ESET εντόπισε επίσης δραστηριότητα ευθυγραμμισμένη με το Ιράν που δεν μπορούσε να αποδοθεί σε μια συγκεκριμένη ομάδα απειλών, αλλά είναι σύμφωνη με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που σχετίζονται με Ιρανούς χάκερ.
Τον Ιούνιο του 2025, αυτά τα συμπλέγματα δραστηριοτήτων ανέπτυξαν εργαλεία που βασίζονται στο Go που βασίζονται σε δημόσια διαθέσιμα υαλοκαθαριστήρες ανοιχτού κώδικα, στοχεύοντας τους τομείς ενέργειας και μηχανικής του Ισραήλ.
Μεγάλο μέρος της καθοδήγησης για την πρόληψη του ransomware βοηθά επίσης στην άμυνα έναντι των υαλοκαθαριστήρων δεδομένων. Ένα βασικό βήμα είναι η διατήρηση κρίσιμων αντιγράφων ασφαλείας δεδομένων σε μέσα εκτός σύνδεσης, μακριά από τους χάκερ.
Η εφαρμογή ισχυρών συστημάτων ανίχνευσης τελικού σημείου και πρόληψης εισβολής και η διατήρηση όλου του λογισμικού ενημερωμένο θα μπορούσε να αποτρέψει ένα ευρύ φάσμα επιθέσεων, συμπεριλαμβανομένων περιστατικών διαγραφής δεδομένων.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
