Dne 23. února identifikovala společnost Eset na Ukrajině výskyt nového destruktivního malware typu wiper, který způsobuje smazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Malware nazvaný HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí, podle dostupných informací wiper mířil na finanční instituce a vládní kontraktory. Finální výčet zasažených cílů aktuálně není znám, dle dostupných informací byly zasaženy i některé instituce v Litvě a Lotyšsku.
Binární soubory mají validní digitální podpis společnosti Hermetica Digital Ltd. a datum kompilace 28. 12. 2021. Z analýz několika napadených institucí vyplývá, že byly kompromitovány už v průběhu listopadu a prosince loňského roku, což poukazuje na dlouhodobě vedenou a plánovanou akci. Způsoby kompromitace a šíření wiperu v síti se v jednotlivých případech liší. Zaznamenány byly případy zneužití zranitelností SMB, Apache Tomcat a Microsoft Exchange. K šíření byl v několika případech použit malware typu červ označený společností Eset jako HermeticWizard pravděpodobně vyvinutý specificky k tomuto účelu. V dalších případech je pak potvrzeno šíření pomocí doménových politik (GPO) a plánovaných úloh.
Tento rok se spolu s útokem wiperu WhisperGate v polovině ledna jedná již o druhý kybernetický útok na Ukrajině cílící na destrukci dat. V den invaze ruských sil 24. 2. pak byl zaznamenán třetí útok na systémy několika ukrajinských vládních institucí wiperem obdobné funkcionality pojmenovaný společností Eset „IsaacWiper“. V současné době nicméně není známá jeho přímá spojitost s HermeticWiper, soubory nejsou podepsané stejnou společností a mají dřívější datum kompilace, v některých případech už 19. 10. 2021.
Nelze vyloučit, že se s ohledem na situaci mohou stát cílem útoků i české instituce. NÚKIB k této hrozbě vydal 28. 1. upozornění a následně 25. 2. varování podle zákona o kybernetické bezpečnosti.
Státním i soukromým institucím v reakci doporučujeme:
- zkontrolovat uvedené indikátory kompromitace v rámci svých systémů,
- mít připravené zálohy důležitých aktiv na fyzicky odděleném offline médiu a ověřenou jejich funkčnost,
- zkontrolovat stav antivirového řešení, konkrétně zdali je korektně spuštěno na všech zařízeních a aktualizováno,
- provést audit privilegovaných účtů, doménových politik a plánovaných úloh,
- ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit.
V případě pozitivního nálezu nebo jiné aktivity s potenciální souvislostí informujte o této skutečnosti Vládní CERT na adrese cert.incident@nukib.cz.
Indikátory kompromitace:
Hash
Win32 EXE (Microsoft: DoS:Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)
- MD5: 3f4a16b29f2f0532b7ce3e7656799125
- SHA-1:61b25d11392172e587d8da3045812a66c3385451
- SHA-256:1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
Win32 EXE (Microsoft: DoS:Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)
- MD5: 84ba0197920fd3e2b7dfa719fee09d2f
- SHA-1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77
- SHA-256: 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
Win32 EXE (Microsoft: DoS:Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)
- MD5: decc2726599edcae8d1d1d0ca99d83a6
- SHA-1: 0d8cc992f279ec45e8b8dfd05a700ff1f0437f29
- SHA-256: 3c557727953a8f6b4788984464fb77741b821991acbf5e746aebdd02615b1767
ms-compressed (Microsoft: Trojan:Win32/HermeticWiper!MSR)
- MD5: a952e288a1ead66490b3275a807f52e5
- SHA-1: 5ceebaf1cbb0c10b95f7edd458804a646c6f215e
- SHA-256: e5f3ef69a534260e899a36cec459440dc572388defd8f1d98760d31c700f42d5
ms-compressed (Microsoft: Trojan:Win32/HermeticWiper!MSR)
- MD5: eb845b7a16ed82bd248e395d9852f467
- SHA-1: ee764632adedf6bb4cf4075a20b4f6a79b8f94c0
- SHA-256: fd7eacc2f87aceac865b0aa97a50503d44b799f27737e009f91f3c281233c17d
ms-compressed (Microsoft: Trojan:Win32/HermeticWiper!MSR)
- MD5: 231b3385ac17e41c5bb1b1fcb59599c4
- SHA-1: 0231721ef4e4519ec776ff7d1f25c937545ce9f4
- SHA-256: b01e0c6ac0b8bcde145ab7b68cf246deea9402fa7ea3aede7105f7051fe240c1
ms-compressed (Microsoft: Trojan:Win32/HermeticWiper!MSR)
- MD5 095a1678021b034903c85dd5acb447ad
- SHA-1 9c2e465e8dfdfc1c0c472e0a34a7614d796294af
- SHA-256 b6f2e008967c5527337448d768f2332d14b92de22a1279fd4d91000bb3d4a0fd
Win32 EXE (soubor není k dispozici)
- SHA-256: a64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e
Yara
rule MAL_HERMETIC_WIPER
{
meta:
desc = "HermeticWiper - broad hunting rule"
author = "Friends @ SentinelLabs"
version = "1.0"
last_modified = "02.23.2022"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
strings:
$string1 = "DRV_XP_X64" wide ascii nocase
$string2 = "EPMNTDRV\\%u" wide ascii nocase
$string3 = "PhysicalDrive%u" wide ascii nocase
$cert1 = "Hermetica Digital Ltd" wide ascii nocase
condition:
uint16(0) == 0x5A4D and
all of them
}
Odkazy
- https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/
- https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia
- https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/
- https://twitter.com/ESETresearch/status/1496581908460941318