HermeticWiper: Új rosszindulatú adattörlő kártevővel támadják Ukrajnát


2022.02.25.

Több száz számítógép került veszélybe Ukrajnában néhány órával azután, hogy egy túlterheléses támadássorozatot követően számos ukrán weboldal elérhetetlenné vált

Ukrajnában számos szervezetet ért kibertámadás, melynek hátterében egy HermeticWiper nevű adattörlő kártevő (wiper) áll. A támadás telemetriánk szerint néhány órával azután történt, hogy egy túlterheléses támadássorozat (DDoS) több fontos webhelyet elérhetetlenné tett az országban.

Kutatóink Win32/KillDisk.NCV néven két nappal ezelőtt helyi idő szerint 17 óra előtt észlelték első alkalommal a Wipert. A kártevő adatainak vizsgálatából az derült ki, hogy azt két hónappal ezelőtt hozhatták létre, de az eddigi információk alapján február 23-án, szerdán vetették be először.

A Hermetic Wiper képes letörölni a megfertőzött rendszer minden adatát, a célba vett hálózat számítógépeinek teljes tartalmát és azokat semmilyen módon nem lehet később visszaállítani. Más rosszindulatú kártevőkkel szemben a HermeticWiper valódi célja nem az adatlopás és így az anyagi haszonszerzés, hanem a puszta rombolás: véglegesen megsemmisíteni az adatokat, illetve a szabotázsakció révén leállítani a működő infrastruktúrákat. 

"Az adattörlő visszaél az EaseUS Partition Master szoftver illesztőprogramjaival, megsemmisítve annak adatait" - jegyezték meg kutatóink.

A kártevő elnevezése abból ered, hogy a támadók egy olyan digitálisan aláírt legitim szoftvert használtak, melynek hivatalos tanúsítványát a ciprusi székhelyű Hermetica Digital nevű cégnek állították ki. Úgy tűnik, hogy legalább egy alkalommal a kiberbűnözők hozzáférhettek a cég hálózatához, mielőtt szabadon engedték a rosszindulatú programot.

Szerdán számos ukrán weboldalt lekapcsoltak a DDoS támadások újabb hullámában, amelyek már hetek óta célozzák az országot, köztük kulcsfontosságú kormányzati oldalakat, az ukrán parlamenti, a külügyminisztériumi illetve emellett különböző banki weboldalakat támadtak.

Korábban már egy másik adattörlő kártevő is végigsöpört Ukrajnán idén január közepén. Az akkori támadásban szereplő kártevő a WhisperGate nevű adattörlő zsarolóvírusnak álcázta magát, és erősen emlékeztetett a NotPetya támadásra, amely 2017 júniusában sújtott le Ukrajnára, mielőtt hatalmas pusztítást okozott volna az egész világon. Kutatóink szerint azonban a most azonosított új Wiper kártevő ennél sokkal nagyobb veszélyt jelent, mert több módszer egyidejű alkalmazásával teszi tönkre a megtámadott gépeket, és állítja le ezzel a megcélzott szolgáltatásokat.