Ataques cibernéticos mais direcionados à Ucrânia

8. Março 2022
| Sem comentários
Ataques cibernéticos mais direcionados à Ucrânia

Compartilhar postagem

Durante a invasão russa, outro programa malicioso, o IsaacWiper, apareceu depois do HermeticWiper. Eles são direcionados diretamente a organizações ucranianas. Além disso, os ataques são realizados com o malware HermeticWizard para distribuição na rede local e o HermeticRansom como ransomware chamariz.

Após a invasão russa da Ucrânia, os pesquisadores da ESET descobriram novas famílias de malware de limpeza usadas em ataques cibernéticos direcionados a organizações ucranianas. O primeiro ataque cibernético começou algumas horas antes da invasão russa com ataques DDoS massivos contra os principais sites ucranianos. Alguns dos novos tipos de malware também foram usados ​​durante esses ataques: HermeticWiper para exclusão de dados, HermeticWizard para distribuição na rede local e HermeticRansom como isca de ransomware.

Ataques DDoS e HermeticWiper são apenas o começo

Com o início da invasão russa, um segundo ataque começou contra uma rede do governo ucraniano, também usando um limpador. Os pesquisadores da ESET chamaram isso de IsaacWiper. Os artefatos de malware indicam que as ações foram planejadas por vários meses. Até agora, os especialistas do fabricante europeu de segurança de TI não conseguiram atribuir os ataques a um grupo de hackers conhecido. Não se pode descartar que, mais cedo ou mais tarde, o malware também será usado fora da Ucrânia.

“No momento, estamos investigando se existe uma conexão entre IsaacWiper e HermeticWiper. O IsaacWiper foi detectado em uma organização governamental ucraniana que não foi afetada pelo HermeticWiper”, disse Jean-Ian Boutin, chefe de pesquisa de ameaças da ESET.

Ataques planejados com antecedência

Os pesquisadores da ESET assumem que as organizações afetadas foram comprometidas muito antes de o limpador ser usado. “Esta avaliação é baseada em vários fatos: os registros de data e hora da compilação HermeticWiper, o mais antigo dos quais é 28 de dezembro de 2021; a data de emissão do Certificado de Assinatura de Código de 13 de abril de 2021; e a implantação do HermeticWiper por meio da política de domínio padrão em pelo menos um caso. Isso indica que os invasores já tiveram acesso a um dos servidores Active Directory da vítima", continuou Boutin.

IsaacWiper apareceu na telemetria da ESET em 24 de fevereiro. O timestamp de compilação mais antigo encontrado foi 19 de outubro de 2021, o que significa que, se o timestamp não foi adulterado, IsaacWiper pode ter sido usado meses antes em operações anteriores.

Outra onda de ataques com IsaacWiper

Apenas um dia depois de usar o IsaacWiper, os invasores lançaram uma nova versão com logs de depuração. Isso pode indicar que os invasores não conseguiram excluir algumas das máquinas visadas e adicionaram mensagens de log para entender o que aconteceu. Os pesquisadores da ESET não conseguiram vincular esses ataques a um agente de ameaça conhecido, pois não há semelhanças de código significativas com outros exemplos na coleção de malware da ESET.

HermeticWiper se espalha em organizações atacadas

No caso do HermeticWiper, a ESET observou evidências de movimento lateral do malware dentro das organizações visadas e determinou que os invasores provavelmente assumiram o controle de um servidor Active Directory. Um worm personalizado, que os pesquisadores da ESET apelidaram de HermeticWizard, foi usado para proliferar o limpador nas redes comprometidas. Para o segundo limpador - IsaacWiper - os invasores usaram o RemCom, uma ferramenta de acesso remoto e possivelmente o Impacket para se mover dentro da rede.

Além disso, o HermeticWiper apaga a si mesmo do disco substituindo seu próprio arquivo por bytes aleatórios. Esta medida anti-forense provavelmente destina-se a impedir a análise do limpador após um incidente. O ransomware isca HermeticRansom foi implantado ao mesmo tempo que o HermeticWiper, possivelmente para ofuscar as ações do limpador.

O termo "Hermético" é derivado de Hermetica Digital Ltd. ab, uma empresa cipriota para a qual foi emitido o certificado de assinatura de código. De acordo com um relatório da Reuters, este certificado parece não ter sido roubado da Hermetica Digital. Em vez disso, é mais provável que os invasores se passem pela empresa cipriota para obter esse certificado da DigiCert. A ESET Research pediu à empresa emissora DigiCert para revogar o certificado imediatamente.

Processo de ataques cibernéticos na Ucrânia

  • Em 23 de fevereiro, o malware HermeticWiper (juntamente com HermeticWizard e HermeticRansom) foi implantado contra várias agências e organizações do governo ucraniano. Este ataque cibernético ocorre poucas horas antes do início da invasão russa da Ucrânia.
  • O HermeticWiper apaga a si mesmo do disco substituindo seu próprio arquivo. Este procedimento visa dificultar a análise do incidente.
  • O HermeticWiper é distribuído em redes locais comprometidas por um worm personalizado que chamamos de HermeticWizard.
  • Em 24 de fevereiro, uma segunda onda de ataques começou visando uma rede do governo ucraniano, também usando um limpador que a ESET chama de IsaacWiper.
  • Em 25 de fevereiro, os invasores lançaram uma nova versão do IsaacWiper com logs de depuração indicando que não conseguiram limpar alguns dos computadores visados.
  • Os resultados da análise indicam que os ataques foram planejados por vários meses.
  • Os especialistas em segurança da ESET ainda não conseguiram atribuir esses ataques a nenhum grupo de hackers.
Mais em ESET.com

 

Sobre ESET

A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

ESET, mensagens de relações públicas
, , , , ,