Gerade als Russland sich darauf vorbereitete, eine Invasion in der Ukraine zu starten, waren die Websites der ukrainischen Regierung durch DDoS-Angriffe gestört und Cybersicherheitsfirmen berichteten, auf Hunderten von Geräten im Land eine scheinbar neue Malware gesehen zu haben.
Die neue Malware, die von der Cybersecurity-Community „HermeticWiper“ genannt wird, soll infizierte Windows-Geräte löschen. Der Name bezieht sich auf ein digitales Zertifikat, das zum Signieren einer Malware-Probe verwendet wird – das Zertifikat wurde an ein in Zypern ansässiges Unternehmen namens Hermetica Digital ausgestellt.
„Zu diesem Zeitpunkt haben wir keine legitimen Dateien gesehen, die mit diesem Zertifikat signiert sind. Es ist möglich, dass die Angreifer eine Briefkastenfirma benutzten oder sich ein nicht mehr existierendes Unternehmen aneigneten, um dieses digitale Zertifikat auszustellen“, erklärte die Endpoint-Sicherheitsfirma SentinelOne, deren Forscher dies getan haben Analyse der neuen Malware.
Die Malware wurde auch von Forschern bei analysiert ESET und Symantec. Jedes der Unternehmen hat gemeinsame Indikatoren für Kompromittierung (IoCs) im Zusammenhang mit HermeticWiper.
ESET entdeckte HermeticWiper zum ersten Mal am Mittwochnachmittag (ukrainische Zeit) und das Unternehmen sagte, Hunderte von Computern in der Ukraine seien kompromittiert worden.
ESET stellte fest, dass die beobachteten Malware-Samples Ende Dezember 2021 zusammengestellt wurden, was darauf hindeutet, dass der Angriff möglicherweise seit fast zwei Monaten in Arbeit war.
Von der Cybersicherheitsfirma durchgeführte Untersuchungen deuten darauf hin, dass die Malware zumindest in einem Fall geliefert wurde, nachdem Angreifer die Kontrolle über den Active Directory-Server eines Opfers übernommen hatten.
Der Wiper missbraucht legitime Treiber, die mit einer Anwendung namens EaseUS Partition Master verbunden sind. Es versucht, den Master Boot Record (MBR) jedes physischen Laufwerks sowie jede Partition auf diesen Laufwerken zu beschädigen.
Dies ist der zweite destruktive Malware-Angriff auf die Ukraine im Jahr 2022. Im Januar verunstalteten Bedrohungsakteure Websites der ukrainischen Regierung und setzten Wiper-Malware namens Flüstertor, die als Ransomware getarnt war.
Während die Cybersicherheitsunternehmen, die HermeticWiper analysieren, die Malware keiner bekannten Bedrohungsgruppe zugeschrieben haben – angesichts der aktuellen Situation – ist der wahrscheinlichste Schuldige Russland. Im Fall der Wischer-Malware, die bei den Angriffen im Januar verwendet wurde, sagte die Ukraine, sie habe Beweise dafür, dass Russland verantwortlich sei.
Related: Ukraine-Angriffe beinhalteten die Ausnutzung von Log4j, Oktober-CMS-Schwachstellen
Eduard Kovacs (@EduardKovacs) ist ein beitragender Redakteur bei SecurityWeek. Er arbeitete zwei Jahre lang als IT-Lehrer an einer High School, bevor er eine journalistische Karriere als Sicherheitsreporter von Softpedia begann. Eduard hat einen Bachelor-Abschluss in Wirtschaftsinformatik und einen Master-Abschluss in Computertechniken in der Elektrotechnik.
Stichworte:
