Sandworm is meestgebruikte malware sinds het begin van de Russische inval in Oekraïne. Dat blijkt uit een tijdlijn met alle wiper-malware cyberaanvallen het begin van de oorlog.
De tijdlijn komt van ICT-bedrijf ESET, die echter ook andere gerenommeerde bronnen als CERT-UA, Microsoft en SentinelOne meenam in de metingen.
De tijdlijn begint met WhisperGate-malware op 14 januari 2022, gevolgd door vele andere aanvallen, waaronder de ontdekking van CaddyWiper. Tijdens het voorjaarsoffensief van 2022 richtten de Wiper-aanvallen zich op verschillende Oekraïense instellingen. Het ging onder andere om de malwaresoorten HermeticWiper, HermeticWizard en HermeticRansom. Op 24 februari 2022, toen de Russische invasie begon, vond een tweede destructieve cyberaanval op een Oekraïens overheidsnetwerk plaats met een Wiper die de naam IsaacWiper had.
Nieuwe versies
In de zomermaanden juni, juli en augustus was het iets rustiger met Wiper-campagnes, ook met Sandworm. Toch vonden nog wel verschillende opmerkelijke aanvallen plaats. Zo waren er in juni twee aanvallen met ArguePatch en CaddyWiper op Oekraïense instellingen.
In de herfst vonden aanvallen plaats met onder andere nieuwe versies van CaddyWiper en HermeticWiper, en een nieuwe wiper met de naam NikoWiper. Prestige ransomware ging vervolgens los tegen logistieke bedrijven in Oekraïne en Polen. En er verscheen een nieuwe ransomware met de naam RansomBoggs. CERT-UA melde daarnaast een aanval met Somia imitatie-ransomware.
Ook dit jaar blijven de ontwrichtende aanvallen op Oekraïense organisaties onverminderd doorgaan. Zo was er de executie van het hulpprogramma SDelete – gerelateerd aan NikoWiper – bij een Oekraïense softwareverkoper. Vond er op 17 januari 2023 een aanval met meerdere wipers plaats tegen een Oekraïens persbureau. En verscheen op 25 januari een nieuwe wiper SwiftSlicer, die werd ingezet tegen lokale overheidsinstanties. Maar ook nu nog speelt de malware Sandworm een rol.
Het gebruik van ontwrichtende wipers – en zelfs als ransomware vermomde wipers – door Russische APT-groepen, met name Sandworm, tegen Oekraïense organisaties is niet nieuw. Maar de intensivering van deze campagnes sinds de militaire invasie in februari 2022 is ongekend. Positief is dat veel van de aanvallen zijn ontdekt en verijdeld.
Lees ook:
- Een cyberaanval hoort wereldwijd tot drie grootste bedrijfsrisico’s
- De 6 meest gemaakte fouten bij IT-adoptietrajecten