Além dos ataques militares russos, a Ucrânia vivencia ciberataques de um malware que destrói informações, o HermeticWiper. Nesta quarta-feira, 23, a comunidade de inteligência de ameaças da SentinelOne começou a observar uma nova amostra do malware Wiper circulando em organizações ucranianas. Esse tipo de ataque não visa lucros, mas causar danos.
A análise da SentinelOne mostra que um driver autenticado está sendo usado para implantar um wiper, ou limpador, que apaga totalmente os discos no Windows, depois de excluir as cópias shadow, manipula o MBR (Master Boot Record que inicializa o armazenado em uma unidade do disco), logo após a reinicialização.
Esse wiper, apelidado de HermeticWiper, está sendo usado ativamente contra organizações ucranianas.
Francisco Camargo, CEO da CLM, que distribui as soluções da SentinelOne, acalma os clientes que usam a tecnologia da SentinelOne. "Todos as empresas estão protegidas e não precisam fazer nada".
Contexto
Em 23 de fevereiro, nossos colegas de pesquisa da Symantec e da ESET tuitaram hashes associados a um ataque de limpeza na Ucrânia, incluindo um que não estava disponível publicamente até o momento.
"Começamos a analisar esse novo malware que apaga completamente os discos o apelidamos de 'HermeticWiper' em referência ao certificado digital usado para autenticar o driver", conta a SentinelOne. O certificado digital é emitido em nome da empresa 'Hermetica Digital Ltd' e é válido a partir de abril de 2021. No momento, não vimos nenhum arquivo legítimo assinado com este certificado. É possível que os invasores tenham usado uma empresa de fachada ou se apropriaram de uma empresa extinta para emitir esse certificado digital.
