NÚKIB (národní úřad pro kybernetickou a informační bezpečnost) vydal upozornění na nový malware typu wiper. Tento malware identifikovala 23. února společnost ESET na Ukrajině , vlastnosti tohoto malwaru jsou mazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Malware nazvaný HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí, podle dostupných informací wiper mířil na finanční instituce a vládní kontraktory. Finální výčet zasažených cílů aktuálně není znám, kromě Ukrajiny bylo zasaženo i několik institucí v Litvě a Lotyšsku, přičemž není jasné, zda úmyslně či nikoliv. Tento rok se, spolu s útokem wiperu WhisperGate v polovině ledna, jedná již o druhý kybernetický útok na Ukrajině cílící na destrukci dat. NÚKIB k této hrozbě vydal 28. 1. upozornění, které nadále zůstává v platnosti.
Doporučení Núkibu:
Státním i soukromým institucím v tuto chvíli doporučujeme:
– Zkontrolovat uvedené indikátory kompromitace v rámci svých systémů.
– Mít připravené zálohy důležitých aktiv na fyzicky odděleném offline médiu a ověřit jejich funkčnost.
– Zkontrolovat stav antivirového řešení, konkrétně zdali je korektně spuštěno na všech zařízeních a aktualizováno.
– Provést audit privilegovaných účtů, doménových politik a plánovaných úloh.
– Ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit.
V případě pozitivního nálezu nebo jiné aktivity s potenciální souvislostí informujte o této skutečnosti Vládní CERT na adrese cert.incident@nukib.cz.
Indikátory kompromitace:
Hashe
Win32 EXE (Microsoft: DoS: Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)
– MD5: 3f4a16b29f2f0532b7ce3e7656799125
– SHA-1:61b25d11392172e587d8da3045812a66c3385451
– SHA-256:1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
Win32 EXE (Microsoft: DoS: Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)
– MD5: 84ba0197920fd3e2b7dfa719fee09d2f
– SHA-1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77
– SHA-256: 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
Yara
rule MAL_HERMETIC_WIPER {
meta:
desc = „HermeticWiper – broad hunting rule“
author = „Friends @ SentinelLabs“
version = „1.0“
last_modified = „02.23.2022“
hash = „1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591“
strings:
$string1 = „DRV_XP_X64“ wide ascii nocase
$string2 = „EPMNTDRV\\%u“ wide ascii nocase
$string3 = „PhysicalDrive%u“ wide ascii nocase
$cert1 = „Hermetica Digital Ltd“ wide ascii nocase
condition:
uint16(0) == 0x5A4D and
all of them
}
Zdroj Núkib.cz
Komentáře