HermeticWiper: saiba tudo sobre este malware russo e como evitá-lo

Com o aumento das tensões geopolíticas no mundo, cresceu também a quantidade de ciberataques.

Segundo dados de uma pesquisa de segurança cibernética, investidas contra o governo e o setor militar da Ucrânia aumentaram 196% nos primeiros três dias de combate e os e-mails de phishing nos idiomas eslavos orientais ampliou em sete vezes.

Prova disso é que, um dia antes da invasão da Ucrânia pelas forças russas, em 24 de fevereiro, um tipo específico de malware, um trojan conhecido como ‘’limpador de discos’’, foi identificado agindo contra várias entidades ucranianas.

O comprometimento causado por ele aconteceu poucas horas após uma série de ataques DDoS ter deixado vários sites ucranianos fora do ar.

Acredita-se que, os atacantes tenham conseguido acessar a rede da vítima antes de disparar o malware. Os invasores, inclusive, utilizaram um certificado de assinatura de código genuíno, emitido por uma Companhia chamada Hermetica Digital Ltd, para evitar sua detecção durante a infiltração; daí a justificativa para o nome “HermeticWiper’’.

Saiba tudo sobre este malware russo e como evitá-lo:

O que você vai ver neste post

O que o HermeticWiper faz

Este software malicioso foi projetado para ignorar os recursos de segurança do Windows, excluir dados e tornar inoperantes os dispositivos que utilizam os sistemas operacionais Windows.

O trojan consegue obter acesso de gravação a estruturas de dados de baixo nível no disco, permitindo que os invasores fragmentem arquivos em disco e sobrescreva-os, para impossibilitar a recuperação.

Ele faz isso aproveitando altos privilégios comprometidos; de posse dos direitos de administrador privilegiados, pode substituir os registros e configurações de inicialização, apagar as configurações do dispositivo e excluir os backups. 

O software malicioso pode também usar a política de grupo do Active Directory para se disseminar.

O limpador está configurado para não criptografar controladores de domínio. Esse atributo faz com que o domínio permaneça em execução, possibilitando que o agente malicioso utilize credenciais válidas para autenticar os servidores e mover-se lateralmente pela rede.

Que brecha pode ter causado a invasão

Os malwares, em geral, são capazes de causar inúmeros prejuízos: exclusão de dados, roubo de informações, instalação de programas maliciosos, espionagem (através de gravação de teclas, como o keylogging, ou por áudio/vídeo, usando microfones e câmeras), encriptação de dados, bloqueio de acesso a dados (como no ransomware), criptomineração (uso de recursos do sistema gerar criptomoeda), acesso remoto e controle de máquina, indisponibilidade de páginas web (como nos ataques DDoS), e muito mais.

Neste caso, em específico, o abuso do acesso privilegiado à servidores externos e identidades comprometidas podem ter sido usados para o agente malicioso se mover lateralmente, causando perda permanente de dados, interrupção de serviços essenciais e a inutilização dos dispositivos.

Como identificar

O HermeticWiper avaria as máquinas, pois corrompe o Master Boot Record (MBR), que é responsável por carregar corretamente o sistema operacional (SO).

Em seguida, o trojan reinicia o dispositivo infectado, garantindo que ele não inicialize mais. Inclusive, as tentativas de ligar o aparelho, demonstram que está desligado ou inacessível.

Como ele é distribuído

O programa é leve (114 Kb), facilitando sua distribuição e infiltração.

Ele pode ser disseminado por engenharia social, através de e-mails maliciosos (phishing e spam), anúncios infectados (malvertising), programas em sites de hospedagem de arquivos não oficiais e gratuitos (anexos em formato pdf, office e JavaScript, por exemplo), ferramentas ilegais de ativação de programas (cracking), atualizações falsas, fraudes online e muitos outros.

O malware pode se difundir utilizando redes e dispositivos de armazenamento removíveis, como discos rígidos externos e unidades flash USB.

A infecção ocorre após seu descarregamento e execução.

Como evitar

Alguns cuidados sempre são válidos para garantir a segurança dos ativos corporativos, como:

  • Evitar abrir anexos e clicar em links presentes em e-mails suspeitos, pois podem conter malware;
  • Realizar downloads apenas de fontes oficiais;
  • Sempre ativar a atualização de ferramenta por desenvolvedores legítimos;
  • Manter sistemas atualizados na última versão;
  • Ter antivírus ou firewalls executar verificações regulares do sistema e remover ameaças detectadas/potenciais;
  • Ter um gerenciador de acesso privilegiado, como o VaultOne, para evitar ciberataques e violações de dados, mantendo as credenciais e os dados protegidos.

Conclusão

A recuperação neste caso é complicada, devido a fragmentação e limpeza dos discos.

Como o HermeticWiper compromete identidades e credenciais privilegiadas, os esforços de mitigação de risco devem se concentrar na gestão do acesso privilegiado e proteção de credenciais.  

Gerencie riscos e mantenha sua empresa segurança

O risco está dentro e fora das empresas. Um usuário que possui acesso a credenciais privilegiadas pode acessar sistemas e aplicativos para roubar dados confidenciais, alterar configurações de segurança e até instalar malware, como ransomware. O dano pode ser irreparável, incluindo interrupção nas atividades da empresa.

Para lidar com esse cenário, a VaultOne permite que a sua empresa controle e monitore o acesso do usuário, minimizando o risco de ameaças internas e externas.

Veja o VaultOne em ação, solicite agora mesmo uma demonstração.