Détection du Malware HermeticWiper : Avis de la CISA et du FBI sur de Nouvelles Cyberattaques Destructrices Ciblant les Organisations Ukrainiennes

Le 13 janvier 2022, une attaque cybernétique dévastatrice a frappé l’Ukraine, mettant en panne les actifs en ligne du gouvernement du pays, dans laquelle les attaquants ont exploité un nouveau malware effaceur de données connu sous le nom de WhisperGate. Peu après cet incident marquant, le 23 février, des analystes en cybersécurité ont révélé un autre logiciel malveillant destructeur ciblant les organisations ukrainiennes, baptisé HermeticWiper. Ce nouveau malware effaceur découvert compromet les appareils sous Windows en contrôlant l’enregistrement de démarrage principal, ce qui conduit à des échecs de démarrage successifs.

Détection et Atténuation du Malware HermeticWiper

Pour détecter l’activité malveillante associée à HermeticWiper et protéger en temps voulu l’infrastructure de l’organisation, les professionnels de la sécurité peuvent télécharger les détections basées sur Sigmadéveloppées avec l’aide de l’initiative de crowdsourcing de SOC Prime, le Threat Bounty Program, incluant ses développeurs expérimentés, Emir Erdoan and Antonio Farina. Tout le contenu de détection dédié est disponible en téléchargement sur la plateforme Detection as Code de SOC Prime :

Désactivation des CrashDumps via le registre (HermeticWiper)

Cette détection a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.

La règle Sigma est alignée avec le dernier cadre MITRE ATT&CK® v.10, traitant le pilier Destruction des Défenses (T1562) comme technique principale et Désactiver ou Modifier les Outils (T1562.001) comme sous-technique.

Détecte un possible HermeticWiper par installation spécifique de Driver

Cette règle Sigma a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Apache Kafka ksqlDB.

Le 26 février 2022, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont émis un avis conjoint avertissant les organisations de l’activité malveillante associée à WhisperGate et HermeticWiper. L’avis fournit des recommandations et des conseils sur la manière de protéger l’infrastructure de l’entreprise contre les potentielles exploitations par ces souches de malware effaceurs de données infâmes. L’atténuation d’HermeticWiper implique les étapes suivantes visant à renforcer la résilience en cybersécurité au sein des organisations :

1. Surveillance continue et analyses régulières via des programmes antivirus et antimalware
2. Utilisation de logiciels de filtre anti-spam pour prévenir les courriels de spear-phishing
3. Application de filtrage du trafic réseau
4. Exécution de mises à jour logicielles planifiées
5. Activation de l’authentification à facteurs multiples

Analyse d’HermeticWiper

Le malware, baptisé HermeticWiper, tire son nom d’une entreprise qui a délivré une signature numérique HermeticWiper pour l’échantillon. Les chercheurs supposent que les pirates ont tiré parti d’une société fictive ou inactive pour émettre le certificat.

Dans le processus de déploiement d’HermeticWiper, il imite un logiciel sur-mesure à fonctionnalité limitée. L’échantillon fait 114 KB, avec des ressources représentant environ 70 % de la charge. Les adversaires utilisent une approche de malware effaceur éprouvée qui exploite un pilote de partition bénin pour exécuter les éléments les plus nuisibles de leurs opérations. Plusieurs groupes de hackers sont connus pour avoir abusé d’EldoS RawDisk pour accéder directement à l’espace utilisateur aux fichiers, surpassant les API Windows. Lorsque le malware est exécuté, il active SeBackupPrivilege, accordant aux attaquants un accès en lecture aux fichiers. HermeticWiper ajoute ensuite SeLoadDriverPrivilege, ce qui lui permet de charger et de décharger des pilotes de périphériques, ainsi que SEShutdownPrivilege, l’habilitant à éteindre le système compromis. Une fois éteint, il n’est plus possible de lancer le processus de démarrage. Aucune fonctionnalité supplémentaire au-delà des capacités d’effacement du malware n’a encore été identifiée.

Rejoignez la plateforme Detection as Code de SOC Prime pour renforcer vos capacités de détection des menaces grâce à la puissance de l’expertise mondiale en cybersécurité. Vous cherchez des moyens de contribuer avec votre propre contenu de détection et de conduire une défense cybernétique collaborative ? Rejoignez l’initiative de crowdsourcing de SOC Prime pour soumettre vos propres règles Sigma et YARA, les publier sur la plateforme, contribuer à un cyberespace plus sûr et recevoir des récompenses récurrentes pour votre contribution !