Praha, 24. února 2022 – Bezpečnostní analytici společnosti ESET včera objevili nový malware označovaný jako HermeticWiper. Jedná se o škodlivý kód typu data wiper, který maže uživatelská data a který je používán ke kybernetickým útokům na Ukrajině. Bezpečnostní analytici pozorně sledují kromě Ukrajiny i situaci v České republice, ta však zatím nevykazuje žádný nestandardní stav.
Škodlivý kód zachycený ve středu 23. února zneužívá k destrukci dat uložených na pevném disku počítače legitimní ovladač rhdr.sys softwaru EaseUS Partition Master, který jinak slouží ke správě pevných disků. Tento ovladač si malware nese sebou, není tedy nutné, aby byl na zařízení již instalován.
Podrobný pohled na malware použitý na Ukrajině
Škodlivý kód kromě přepisu a mazání souborů v uživatelských adresářích maže také uživatelský profil uložený v souboru NTUSER.DAT. To ale není vše, finálním krokem, který znemožňuje následné nastartovaní operačního systému, je přepis částí disku, které jsou nezbytné pro start operačního systému. Útok tohoto malware je schopen vyřadit nejen jednotlivé počítače, ale i celé organizace. Uživatelé bezpečnostních produktů ESET na Ukrajině jsou proti těmto hrozbám chráněni.
„V jedné z organizací, které byly cílem útoku, byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET.
Situace v Česku
Bezpečnostní analytici společnosti ESET pozorně sledují i situaci v České republice s ohledem na eskalaci situace na Ukrajině. Aktuálně však nejsou sledovány žádné anomálie či výkyvy v počtu či charakteru kybernetických hrozeb.
„V České republice sledujeme řadu kybernetických útoků a aktivit, nelze je ale dát do přímé souvislosti s aktuálními událostmi na Ukrajině. Česko je dlouhodobým cílem útočníků a v tuto chvíli nesledujeme žádný abnormální nárůst těchto aktivit,“ vysvětluje Cebák. „Pokud by se tato situace změnila, okamžitě na to zareagujeme,“ dodává bezpečnostní analytik společnosti ESET.
IoC
- 912342F1C840A42F6B74132F8A7C4FFE7D40FB77
- 61B25D11392172E587D8DA3045812A66C3385451
- Win32/KillDisk.NCV
Poznámka: IoC, Indicator of compromise, představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačnou identifikaci hrozby. Bezpečnostní komunita na jeho základě může hrozbě lépe čelit.
Společnost ESET bude zveřejňovat další informace.
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.
ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.
Kontakt pro média:
Ondřej Šafář
Manažer PR a komunikace
ESET software spol. s r.o.
tel: +420 776 234 218
ondrej.safar@eset.cz
Lucie Mudráková
Specialistka PR a komunikace
ESET software spol. s r.o.
tel: +420 702 206 705
lucie.mudrakova@eset.cz