Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

▷ Malware destrutivo “HermeticWiper” atinge a Ucrânia
Blogs4

Malware destrutivo “HermeticWiper” atinge a Ucrânia

Nota: O seguinte artigo irá ajudá-lo com: Malware destrutivo “HermeticWiper” atinge a Ucrânia

A Ucrânia está sofrendo uma ampla gama de ataques cibernéticos. Um dos mais interessantes é um malware anteriormente desconhecido com carga destrutiva que apareceu em centenas de máquinas ucranianas recentemente.

Em 23 de fevereiro, um tweet da ESET Research afirma que eles descobriram um novo malware que limpa os dados, usados ​​na Ucrânia. A linha do tempo segue os ataques DDoS direcionados a vários sites importantes da Ucrânia (Figura A). A pesquisa foi rapidamente confirmada pela Symantec, uma divisão da Broadcom Software.

Figura A

Uma linha do tempo complexa de eventos cibernéticos visando a Ucrânia

Antes das operações DDoS e da descoberta desse novo limpador, outro ataque atingiu a Ucrânia em meados de janeiro, apelidado de WhisperGate, exposto pela Microsoft em 15 de janeiro.

A Microsoft informou que o WhisperGate foi lançado nos sistemas das vítimas (vários governos, organizações sem fins lucrativos e de tecnologia da informação) na Ucrânia em 13 de janeiro. O malware foi projetado para se parecer com um ransomware, mas na verdade não tinha código de recuperação de resgate no arquivo binário. Ele foi desenvolvido para ser destrutivo e tornar seus alvos inutilizáveis.

VEJA: Violação de senha: Por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Paralelamente a esta primeira operação de limpeza, uma série de ataques a sites aconteceu na noite entre 13 e 14 de janeiro, conforme relatado pelo CERT-UA, a equipe oficial do governo para responder a incidentes de computador na Ucrânia.

Vários sites ucranianos foram desfigurados para mostrar uma mensagem escrita nos idiomas ucraniano, russo e polonês (Figura B). WhisperGate também foi descartado e usado nesses sites. De acordo com o Serviço de Estado Ucraniano para Comunicação Especial e Proteção de Informações, de 13 a 14 de janeiro de 2022, quase 70 sites ucranianos (domésticos e internacionais) foram atacados.

Figura B

A mensagem traduzida aproximadamente para o inglês é:

“Ucraniano! Todos os seus dados pessoais foram enviados para uma rede pública. Todos os dados do seu computador são destruídos e não podem ser recuperados. Todas as informações sobre você apunhalam público, conto de fadas e esperam o pior. É para você para o seu ado, o futuro e o futuro. Para Volhynia, OUN UPA, Galiza, Polônia e áreas históricas.”

A mensagem mostrada nos sites desfigurados era uma imagem. As imagens, ao contrário do texto, têm metadados, às vezes incluindo coordenadas físicas. Neste caso, a imagem tinha uma latitude e longitude específicas: um estacionamento da Escola de Economia de Varsóvia, na Polônia. A escolha de usar uma imagem ao invés de texto provavelmente foi feita para enviar uma bandeira falsa, como aquela posição do GPS.

Serhiy Demedyuk, vice-secretário do Conselho de Segurança e Defesa Nacional da Ucrânia, culpou o ataque a um grupo chamado UNC1151. Ele acrescentou que o UNC1151 é um grupo de espionagem cibernética afiliado aos serviços especiais da República da Bielorrússia.

Em 15 de fevereiro, novos ataques DDoS começaram contra o Ministério da Defesa da Ucrânia, além de outros alvos.

O próximo evento desta enorme série de eventos foi o aparecimento do malware HermeticWiper.

HermeticWiper: Um malware muito eficiente e destrutivo

Em 23 de fevereiro, surgiram relatórios sobre o HermeticWiper, quando a ESET iniciou um tópico no Twitter sobre isso.

A análise técnica seguiu rapidamente. HermeticWiper é um malware cujo objetivo é tornar os dispositivos Windows inutilizáveis, limpando partes dele (Figura C).

Figura C

Uma característica particularmente interessante deste limpador é que ele é um malware muito bem escrito com poucas funções padrão, ao contrário da maioria dos outros malwares espalhados por aí.

O método que ele usa para limpar os dados foi usado no ado por alguns agentes de ameaças com os infames limpadores Shamoon e Destover: ele abusa de um driver legítimo do gerenciador de partição do Windows para realizar suas operações de gravação. No caso de HermeticWiper, um gerenciador de partição EaseUS (empntdrv.sys) foi abusado.

O malware contém várias versões diferentes do driver e usa a versão apropriada, dependendo da versão do sistema operacional e da arquitetura em que é executado. Essas diferentes versões de driver são compactadas como recursos compactados em ms dentro do binário do malware. Como o malware tem apenas 114 KB, os dados desse driver ocupam mais de 70% deles.

Uma das primeiras ações do HermeticWiper consiste em desabilitar a cópia de sombra do volume, um sistema que pode ajudar os es a restaurar um sistema travado.

HermeticWiper então corrompe o Master Boot Record (MBR) do dispositivo e limpa os arquivos em diferentes pastas estratégicas do sistema operacional Windows:

  • C:\Documents and Settings\
  • C:\Informações do Volume do Sistema\
  • C:\Windows\SYSVOL\
  • C:\Windows\System32\winevt\Logs

A última ação destrutiva consiste em determinar se o sistema de arquivos de partição do disco rígido é FAT ou NTFS e corrompe a partição de acordo. Uma vez feito, o sistema é forçado a desligar e nunca poderá inicializar novamente.

Ao fazer isso, o malware garante que o sistema seja totalmente inutilizável.

Até agora, HermeticWiper só foi difundido e usado na Ucrânia. Em uma nota lateral, o nome desse malware vem do fato de que ele usa um certificado assinado pelo nome da empresa Hermetica Digital Ltd e era válido em abril de 2021. De acordo com a pesquisa do SentinelOne sobre HermeticWiper, “é possível que os invasores tenham usado uma empresa de fachada ou se apropriou de uma empresa extinta para emitir este certificado digital.”

Como ficar seguro do HermeticWiper?

O uso do HermeticWiper fora da Ucrânia não é esperado. Os indicadores de comprometimento (IOC) foram compartilhados junto com as regras da YARA para ajudar a detectar o malware nos sistemas.

Ao contrário de outros malwares cujas ações são geralmente controladas por um agente de ameaças por meio de comunicações de rede, o HermeticWiper não precisa de nenhum. Portanto, não há padrão de rede para analisar para detectar o malware, exceto se ele for baixado de uma rede, caso em que pode ser útil implantar a inspeção profunda de pacotes (DPI) para detectar o binário. Os endpoints devem ser verificados para esses IOCs.