Toen de recente vijandelijkheden tussen Rusland en Oekraïne begonnen, ontdekten ESET-onderzoekers verschillende malwarefamilies die zich richtten op Oekraïense organisaties.

• Op februari 23^rd, 2022, een destructieve campagne met HermeticWiper gericht op meerdere Oekraïense organisaties.
• Deze cyberaanval ging enkele uren vooraf aan het begin van de invasie van Oekraïne door troepen van de Russische Federatie
• Initiële toegangsvectoren varieerden van de ene organisatie tot de andere. We hebben een geval bevestigd waarin de wiper door GPO werd verwijderd en een worm ontdekt die werd gebruikt om de wiper in een ander besmet netwerk te verspreiden.
• Malware-artefacten suggereren dat de aanvallen al enkele maanden gepland waren.
• Op februari 24^thIn 2022 begon een tweede destructieve aanval op een Oekraïens overheidsnetwerk, met behulp van een wisser die we IsaacWiper hebben genoemd.
• ESET Research heeft deze aanvallen nog niet kunnen toeschrijven aan een bekende dreigingsactor.

Verwoestende aanvallen in Oekraïne

Zoals vermeld in dit ESETResearch tweet en WLS-blogpost, ontdekten we een vernietigende aanval op computers in Oekraïne die op 14 februari rond 52:23 begon^rd, 2022 GMT. Dit volgde op gedistribueerde denial-of-service (DDoS) aanvallen op grote Oekraïense websites en ging een paar uur vooraf aan de Russische militaire invasie.

Deze destructieve aanvallen maakten gebruik van ten minste drie componenten:

• Hermetische Wiper: maakt een systeem onbruikbaar door de gegevens te beschadigen
• Hermetische Wizard: verspreidt HermeticWiper over een lokaal netwerk via WMI en SMB
• Hermetisch Losgeld: ransomware geschreven in Go

HermeticWiper werd waargenomen op honderden systemen in ten minste vijf Oekraïense organisaties.

Op februari 24^th, 2022, ontdekten we weer een nieuwe wisser in een Oekraïens overheidsnetwerk. We noemden het IsaacWiper en we beoordelen momenteel de eventuele banden met HermeticWiper. Het is belangrijk op te merken dat het werd gezien in een organisatie die was niet beïnvloed door HermeticWiper.

Attribution

Op dit moment hebben we geen tastbare connectie gevonden met een bekende dreigingsactor. HermeticWiper, HermeticWizard en HermeticRansom delen geen significante codeovereenkomst met andere voorbeelden in de ESET-malwareverzameling. IsaacWiper is ook nog steeds niet toegewezen.

Timeline

HermeticWiper en HermeticWizard zijn ondertekend door een code-ondertekeningscertificaat (getoond in afbeelding 1) toegewezen aan Hermetica Digital Ltd uitgegeven op 13 april^th, 2021. We hebben de uitgevende CA (DigiCert) verzocht om het certificaat in te trekken, wat het deed op 24 februari^th2022.

Afbeelding 1. Code-ondertekeningscertificaat toegewezen aan Hermetic Digital Ltd

Volgens een verslag door Reuters, lijkt het erop dat dit certificaat niet is gestolen van Hermetica Digital. Waarschijnlijk hebben de aanvallers zich voorgedaan als het Cypriotische bedrijf om dit certificaat van DigiCert te krijgen.

ESET-onderzoekers beoordelen met grote zekerheid dat de getroffen organisaties gecompromitteerd waren ruim voordat de wisser werd ingezet. Dit is gebaseerd op een aantal feiten:

• HermeticWiper PE compilatie tijdstempels, de oudste is 28 december^th, 2021
• De uitgiftedatum van het code-ondertekeningscertificaat van 13 april^th, 2021
• De inzet van HermeticWiper via GPO in ten minste één instantie suggereert dat de aanvallers eerder toegang hadden tot een van de Active Directory-servers van dat slachtoffer

De gebeurtenissen zijn samengevat in de tijdlijn in figuur 2.

Afbeelding 2. Tijdlijn van belangrijke gebeurtenissen

Eerste toegang

Hermetische Wiper

De initiële toegangsvector is momenteel onbekend, maar we hebben artefacten van laterale beweging binnen de beoogde organisaties waargenomen. In één entiteit werd de wiper geïmplementeerd via het standaarddomeinbeleid (GPO), zoals blijkt uit het pad op het systeem:

C: Windowssystem32GroupPolicyDataStore