Les chercheurs d’ESET découvrent un nouveau logiciel malveillant d’essuyage attaquant les organisations ukrainiennes et un composant logiciel de ver propageant HermeticWiper parmi les réseaux locaux.
– Le 23 février 2022, une campagne destructive utilisant HermeticWiper a visé plusieurs organisations ukrainiennes.
– Les artefacts malveillants suggèrent que les attaques ont été planifiées il y a plusieurs mois.
– HermeticWiper : rend un système inopérant en corrompant ses données.
– HermeticWizard : diffuse HermeticWiper sur un réseau local via WMI et SMB.
– HermeticRansom : ransomware écrit en Go.
HermeticWiper a été observé sur des centaines de systèmes dans au moins cinq organisations ukrainiennes.
Attribution
Ligne du temps
Selon un Rapport Reuters
Accès initial
Racleur hermétique
C:\Windows\system32\GroupPolicy\DataStore\0\Sysvol\
Cela indique que les attaquants ont probablement pris le contrôle du serveur Active Directory.
Empaquetage pour avoir été utilisé pour implémenter HermeticWiper. Un post sur blog
cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE\temp\sys.tmp1 CSIDL_WINDOWS\policydefinitions\postgresql.exe 1> \127.0.0.1\ADMIN$\__1636727589.6007507 2>&1
Enfin, un ver personnalisé que nous avons nommé HermeticWizard a été utilisé pour diffuser HermeticWiper sur les réseaux compromis via SMB et WMI.
IsaacWiper
Conclusions
Cependant, en raison de la crise actuelle en Ukraine, il existe toujours un risque probable que les mêmes acteurs malveillants lancent de nouvelles campagnes contre les pays qui soutiennent le gouvernement ukrainien ou sanctionnent les entités russes.
