IsaacWiper Malware

Onderzoekers van Infosec hebben een tweede wiper-malware ontdekt die is gebruikt bij aanvallen op organisaties in Oekraïne. Deze dreiging, IsaacWiper genaamd, werd ook gelijktijdig met de Russische invasie in het land Oekraïne ingezet. De schijnbare functionaliteit van de dreiging is de volledige verstoring van de computers die het weet te infiltreren.

De dreiging is erin geslaagd om een bevestigde Oekraïense organisatie te infiltreren. Om zich lateraal binnen het netwerk van het slachtoffer te verplaatsen, gebruikten de aanvallers een tool voor externe toegang genaamd RemCom, in combinatie met Impacket, een verzameling Python-klassen voor het werken met netwerkprotocollen.

Tot nu toe is IsaacWiper niet toegeschreven aan een van de gevestigde dreigingsactoren die banden hebben met Rusland. De dreiging heeft ook geen overeenkomsten met de andere wissersoort die werd ontdekt en HermeticWiper heette. IsaacWiper is in feite veel minder geavanceerd en verfijnd in zijn functionaliteit, zoals blijkt uit een rapport waarin de dreiging wordt beschreven die is vrijgegeven door malware-experts.

Volgens hun bevindingen is IsaacWiper mogelijk problemen tegengekomen tijdens het uitvoeren van de programmering. Wat de onderzoekers tot deze conclusie bracht, is het feit dat de operators van de dreiging een nieuwe versie hebben uitgebracht die is uitgerust met foutopsporingslogboeken. Een mogelijke verklaring voor deze opname is dat de eerste IsaacWiper-versies de gegevens op de beoogde systemen niet volledig konden wissen.