Un nou malware distructiv numit HermeticWiper (alias KillDisk.NCV) este folosit activ în contextul escaladării conflictului militar din Ucraina pentru atacuri cibernetice care au ca ţintă organizaţii guvernamentale şi private, afectând factori de decizie, personal tehnic dar şi utilizatori obişnuiţi, conform unei alerte emise de Directoratul Naţional de Securitate Cibernetică (DNSC).
Momentan asemenea atacuri nu au fost semnalate în România, conform DNSC.
Ce face HermeticWiper
HermeticWiper este un executabil mic, de aproximativ 115KB, semnat digital cu un certificat emis către "Hermetica Digital Ltd" şi valabil în perioada aprilie 2021 - aprilie 2022.
Malware-ul se foloseşte de un driver legitim (asociat cu software-ul EaseUS Partition Master) pentru a corupe datele de pe harddisk-uri, inclusiv zona MBR (Master Boot Record). Pasul final al atacului cu HermeticWiper este inactivarea computer-ului victimă prin repornirea acestuia.
Atacurile cu HermeticWiper au fost cel mai probabil pregătite cu câteva luni în avans, atacatorii obţinând acces la reţelele / infrastructura victimelor încă din noiembrie 2021, exploatând iniţial vulnerabilităţi cunoscute ale serverelor Microsoft Exchange sau Apache Tomcat.
Accesul iniţial a fost, de obicei, urmat de furt de credenţiale de acces, mişcare laterală şi web shells. HermeticWiper se propagă la nivel de Active Directory prin intermediul Group Policy Objects (GPO). Aceasta este o indicaţie a faptului că atacul este iniţiat când atacatorii au preluat deja controlul parţial sau complet asupra reţelei / infrastructurii informatice.
Recomandări ale DNSC
• Creaţi, actualizaţi, întreţineţi şi exersaţi periodic capacităţile de răspuns la incidente cibernetice, precum şi planurile de continuitate şi rezilienţă în cazul pierderii accesului sau controlului reţelei / infrastructurii informatice.
• Revizuiţi strategia de back-up implementată la nivel de organizaţie, având în vedere că datele afectate / şterse de HermeticWiper nu pot fi recuperate.
• Aplicaţi imediat update-urile de securitate necesare pentru software-ul utilizat, în special pentru serverele Microsoft Exchange sau Apache Tomcat.
• Urmăriţi indicatorii de compromis (IOC) HermeticWiper pe care Directoratul i-a inclus în această alertă sau cei comunicaţi de furnizorii de soluţii de securitate cibernetică.
• Urmăriţi, în paralel cu indicatorii de compromis HermeticWiper, şi indicatorii de compromitere de reţea (de tip IP sau domenii) pentru care recomandăm includerea acestora în listele de tip threat intelligence ale echipamentelor de securitate din cadrul organizaţiei dumneavoastră.
• Folosiţi un scanner de IOC-uri (cum ar fi „LOKI Open-Source IOC Scanner”) pentru a automatiza monitorizarea indicatorilor de compromis în cadrul infrastructurii IT.
• Monitorizaţi atent fluxurile de date şi componentele interconectate direct cu parteneri ucraineni şi/sau situate în reţelele ucrainene, dar şi celelalte conexiuni către exterior.
• Aplicaţi principiul celui mai mic privilegiu pentru toate sistemele cheie cu posibilitate de acces la distanţă pe care le gestionaţi.
• Contactaţi imediat Directoratul, în cazul în care aţi fost afectaţi de un atac cu HermaticWiper.
