Upozornění na výskyt nového destruktivního malware

3
(1)

NÚKIB (národní úřad pro kybernetickou a informační bezpečnost) vydal upozornění na nový malware typu wiper. Tento malware identifikovala 23. února společnost ESET na Ukrajině , vlastnosti tohoto malwaru jsou mazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Malware nazvaný HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí, podle dostupných informací wiper mířil na finanční instituce a vládní kontraktory. Finální výčet zasažených cílů aktuálně není znám, kromě Ukrajiny bylo zasaženo i několik institucí v Litvě a Lotyšsku, přičemž není jasné, zda úmyslně či nikoliv. Tento rok se, spolu s útokem wiperu WhisperGate v polovině ledna, jedná již o druhý kybernetický útok na Ukrajině cílící na destrukci dat. NÚKIB k této hrozbě vydal 28. 1. upozornění, které nadále zůstává v platnosti.

 

Doporučení Núkibu:

Státním i soukromým institucím v tuto chvíli doporučujeme:

– Zkontrolovat uvedené indikátory kompromitace v rámci svých systémů.

– Mít připravené zálohy důležitých aktiv na fyzicky odděleném offline médiu a ověřit jejich funkčnost.

– Zkontrolovat stav antivirového řešení, konkrétně zdali je korektně spuštěno na všech zařízeních a aktualizováno.

– Provést audit privilegovaných účtů, doménových politik a plánovaných úloh.

– Ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit.

V případě pozitivního nálezu nebo jiné aktivity s potenciální souvislostí informujte o této skutečnosti Vládní CERT na adrese cert.incident@nukib.cz.

 

Indikátory kompromitace:

Hashe

Win32 EXE (Microsoft: DoS: Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)

– MD5: 3f4a16b29f2f0532b7ce3e7656799125

– SHA-1:61b25d11392172e587d8da3045812a66c3385451

– SHA-256:1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591

Win32 EXE (Microsoft: DoS: Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)

– MD5: 84ba0197920fd3e2b7dfa719fee09d2f

– SHA-1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77

– SHA-256: 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da

 

Yara

rule MAL_HERMETIC_WIPER {

meta:

desc = „HermeticWiper – broad hunting rule“

author = „Friends @ SentinelLabs“

version = „1.0“

last_modified = „02.23.2022“

hash = „1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591“

strings:

$string1 = „DRV_XP_X64“ wide ascii nocase

$string2 = „EPMNTDRV\\%u“ wide ascii nocase

$string3 = „PhysicalDrive%u“ wide ascii nocase

$cert1 = „Hermetica Digital Ltd“ wide ascii nocase

condition:

uint16(0) == 0x5A4D and

all of them

}

 

Zdroj Núkib.cz

Jestli se Vám příspěvek líbí nebo Vám pomohl, tak nás ohodnoťte

Click on a star to rate it!

Děkujeme 3 / 5. Vote count: 1

No votes so far! Be the first to rate this post.

Administrátor

rampelnik78.cz

IT specialista, tvůrce článků a vývojář.

Komentáře

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.