HermeticWiper representa risco cibernético crescente para a Ucrânia

Pesquisadores da ESET descobriram várias novas ameaças ao governo ucraniano, incluindo um componente “wormable” (com capacidades de agir como um verme de computador) para o HermeticWiper.

Na semana passada, o fornecedor de antimalware publicou um blog detalhando o novo malware apagador de dados que apelidou de HermeticWiper, que afetou centenas de máquinas na Ucrânia. Pelo menos cinco organizações no país sofreram ataques cibernéticos como resultado, e a ESET observou o momento do ataque já que "precedeu a invasão militar russa em algumas horas".

Em um novo post em seu blog na terça-feira, a ESET disse não apenas ter descoberto­ um componente “wormable” para o HermeticWiper, que foi apelidado de HermeticWizard, mas também detectou outro apagador em uma rede do governo ucraniano que está sendo rastreado com o apelido de IsaacWiper.

O malware mais recente foi descoberto em 24 de fevereiro, um dia após o HermeticWiper ter sido usado na "campanha destrutiva" que teve como alvo várias organizações ucranianas. O segundo ataque envolvendo o IsaacWiper afetou a organização ucraniana de 24 de fevereiro a 26 de fevereiro, de acordo com o blog.

No momento, os pesquisadores estão avaliando se há uma ligação entre os dois malwares.

"É importante notar que ele [IsaacWiper] foi visto em uma organização que não foi afetada pelo HermeticWiper", disse o blog.

Até o momento, nenhuma atribuição foi feita e a ESET não tem "nenhuma indicação de que outros países foram alvo.

"No entanto, devido à atual crise na Ucrânia, ainda há o risco de que os mesmos atores lancem novas campanhas contra países que apoiam o governo ucraniano ou que sancionem entidades russas", disse o blog.

Parte desse risco aumenta a partir do malware “wormable” HermeticWizard, que aumenta o potencial para ataques colaterais, como visto em 2017 com notPetya e WannaCry.

Durante um seminário online da Recorded Future gravado na segunda-feira sobre a invasão russa da Ucrânia, o analista de ameaças do Insikt Group Craig Terron disse que o uso de falsas bandeiras - especificamente o uso de pseudo-ransomware no ataque HermeticWiper - foi reminiscente do WhisperGate em janeiro, e notPetya e Bad Rabbit em 2017.

Além do novo malware, a ESET também observou um novo ransomware que chamou de HermeticRansom "sendo usado na Ucrânia ao mesmo tempo que a campanha HermeticWiper". Uma possibilidade que os pesquisadores atribuem ao momento do ataque do ransomware seria "esconder as ações do apagador".

Em um tweet, a ESET disse que o HermeticWizard foi “assinado usando o mesmo certificado de assinatura de código que o HermeticWiper, emitido à Hermetica Digital Ltd.". A ESET disse que avaliou "com alta confiança que as organizações afetadas foram comprometidas bem antes da implantação do apagador de dados", em parte porque a data de emissão do certificado de assinatura de códigos era abril de 2021. Este não foi implantado em um sistema na Ucrânia até 23 de fevereiro.

Embora o vetor de acesso inicial seja atualmente desconhecido, de acordo com o blog, há indícios de que os atacantes podem ter tomado o controle do Active Directory.

O vetor de acesso inicial permanece desconhecido para o IsaacWiper também, mas a ESET observou o uso de uma ferramenta de acesso remoto, RemCom, em algumas máquinas. O verme foi então usado para espalhar o apagador em redes locais.

"Ele não possui similaridade de código com o HermeticWiper e é muito menos sofisticado", disse o blog.

Ainda assim, a ESET disse que está monitorando de perto a situação e atualizará o blog à medida que mais informações estiverem disponíveis.