Detecção de Malware HermeticWiper: Aviso do CISA e do FBI sobre Novos Ciberataques Destrutivos que Visam Organizações Ucranianas

[post-views]
Março 02, 2022 · 4 min de leitura
Detecção de Malware HermeticWiper: Aviso do CISA e do FBI sobre Novos Ciberataques Destrutivos que Visam Organizações Ucranianas

Em 13 de janeiro de 2022, um ataque cibernético devastador atingiu a Ucrânia, derrubando ativos online do governo do país, no qual os atacantes aproveitaram um novo malware de limpeza de dados conhecido como WhisperGate. Logo após este incidente impactante, em 23 de fevereiro, analistas de cibersegurança revelaram outro malware destrutivo visando organizações ucranianas chamado HermeticWiper. Este recém-descoberto malware wiper compromete dispositivos Windows ao controlar o registro mestre de inicialização, o que leva a falhas sucessivas de inicialização.

Detecção e Mitigação do Malware HermeticWiper

Para detectar a atividade maliciosa do malware associada ao HermeticWiper e proteger em tempo hábil a infraestrutura da organização, profissionais de segurança podem baixar as detecções mais recentes baseadas em Sigma, desenvolvidas com a ajuda da iniciativa de crowdsourcing da SOC Prime, Programa Threat Bounty, incluindo seus desenvolvedores experientes, Emir Erdoan and Antonio Farina. Todo o conteúdo de detecção dedicado está disponível para download na plataforma Detection as Code da SOC Prime:

Desativando CrashDumps via registro (HermeticWiper)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.

A regra Sigma está alinhada com a estrutura MITRE ATT&CK® mais recente v.10, abordando a técnica principal Impair Defenses (T1562) e a sub-técnica Disable or Modify Tools (T1562.001).

Detecta possível HermeticWiper por instalação específica do Driver

Esta regra Sigma possui traduções para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Apache Kafka ksqlDB.

Em 26 de fevereiro de 2022, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Federal Bureau of Investigation (FBI) emitiram um aviso conjunto alertando organizações sobre a atividade maliciosa associada ao WhisperGate e HermeticWiper. O aviso fornece recomendações e orientações sobre como proteger a infraestrutura da empresa contra as potenciais explorações por essas infames linhagens de malware de limpeza de dados. A mitigação do HermeticWiper envolve as seguintes etapas destinadas a aumentar a resiliência cibernética em todas as organizações:

  1. Monitoramento contínuo e varredura regular via programas de antivírus e antimalware
  2. Utilização de software de filtro de spam para prevenir e-mails de spear-phishing
  3. Aplicação de filtragem de tráfego de rede
  4. Execução de atualizações de software programadas
  5. Ativação da autenticação multifator

Análise do HermeticWiper

O malware, denominado HermeticWiper, origina-se de um nome de empresa que lançou uma assinatura digital HermeticWiper para o exemplo. Pesquisadores assumem que os hackers utilizaram uma empresa de fachada ou não operativa para emitir o certificado.

No processo de implantação do HermeticWiper, ele imita um software feito sob medida, de funcionalidade limitada. O exemplo tem 114KB, com recursos representando cerca de 70% da carga. Os adversários estão empregando uma abordagem testada e comprovada de malware wiper que explora um driver de partição benigno para executar os elementos mais nocivos de suas operações. Várias gangues de hackers são conhecidas por terem abusado do EldoS RawDisk para acesso direto ao espaço do usuário aos arquivos, superando as APIs do Windows. Quando o malware é executado, ele ativa SeBackupPrivilege, concedendo aos atacantes acesso de leitura aos arquivos. O HermeticWiper depois adiciona SeLoadDriverPrivilege, o que lhe permite carregar e descarregar drivers de dispositivo, assim como SEShutdownPrivilege, habilitando-o a matar o sistema violado. Uma vez desligado, não é possível operar o processo de inicialização. Nenhuma funcionalidade adicional além das capacidades do wiper do malware foi identificada ainda.

Junte-se à plataforma Detection as Code da SOC Prime para aumentar suas capacidades de detecção de ameaças com o poder da expertise global em cibersegurança. Procurando maneiras de contribuir com seu próprio conteúdo de detecção e impulsionar a defesa cibernética colaborativa? Junte-se à iniciativa de crowdsourcing da SOC Prime para enviar suas próprias regras Sigma e YARA, publicá-las na plataforma, contribuir para um ciberespaço mais seguro e receber recompensas recorrentes por sua contribuição!

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias