Directoratul de Securitate Cibernetică: Un nou malware distructiv, folosit activ în contextul escaladării conflictului militar din Ucraina pentru atacuri

atac cibernetic hermetic Foto: DNSC

Un nou malware distructiv, numit HermeticWiper (alias KillDisk.NCV), este folosit activ în contextul escaladării conflictului militar din Ucraina pentru atacuri cibernetice care au ca țintă organizații guvernamentale și private, avertizează Directoratul Naţional de Securitate Cibernetică. Acesta afectează factori de decizie, personal tehnic, dar și utilizatori obișnuiți. Până în acest moment, Directoratul nu a înregistrat la nivelul României atacuri HermeticWiper.

HermeticWiper este un executabil mic, de aproximativ 115KB, semnat digital cu un certificat emis către “Hermetica Digital Ltd” și valabil în perioada aprilie 2021 – aprilie 2022.

Malware-ul se folosește de un driver legitim (asociat cu software-ul EaseUS Partition Master) pentru a corupe datele de pe harddisk-uri, inclusiv zona MBR (Master Boot Record). Pasul final al atacului cu HermeticWiper este inactivarea computer-ului victimă prin repornirea acestuia.

Analize Economedia

inflatie bani echilibru balanta
la veterinar
camioane UMB autostrazi
Donald Trump
Colaj bani lei Marcel Ciolacu
Bani, investitie, economii
Marcel Ciolacu, premier
Incredere
constructii, locuințe, bloc, muncitori, șantier
cristian mihai ciolacu, nepotul premierului
Emil Boc, Sorin Grindeanu
Ministerul Energiei Sursa foto Peter Szijjarto
tbb foto event
productie, fabrica
Donald Trump, Trumponomics
euro, moneda, bancnote, bani
bani, finante, lei, financiar, deficit
Mugur Isarescu, guverantorul BNR
Azomures
inflatie bani echilibru balanta
452710313_472208142236025_2821867466000769013_n
Mugur Isărescu, Banca Națională a României, BNR
tineri joburi IUF- The International University Fair
crestere economica, grafic
bani, lei, moneda
noii directori de la Transelectrica - Economedia
crestere economica grafic calcule foto pexels-pixabay
retea electrica - Transelectrica
Ford Courier Craiova Otosan (1)
Schaeffler Romania 1

Atacurile cu HermeticWiper au fost cel mai probabil pregătite cu câteva luni în avans, atacatorii obținând acces la rețelele / infrastructura victimelor încă din noiembrie 2021, exploatând inițial vulnerabilități cunoscute ale serverelor Microsoft Exchange sau Apache Tomcat, spun specialiștii.

Accesul inițial a fost, de obicei, urmat de furt de credențiale de acces, mișcare laterală și web shells. HermeticWiper se propagă la nivel de Active Directory prin intermediul Group Policy Objects (GPO). Aceasta este o indicație a faptului că atacul este inițiat când atacatorii au preluat deja controlul parțial sau complet asupra rețelei / infrastructurii informatice.

Până în acest moment, Directoratul nu a înregistrat la nivelul României atacuri HermeticWiper.

Recomandările DNSC:

  • Creați, actualizați, întrețineți și exersați periodic capacitățile de răspuns la incidente cibernetice, precum și planurile de continuitate și reziliență în cazul pierderii accesului sau controlului rețelei / infrastructurii informatice.
  • Revizuiți strategia de back-up implementată la nivel de organizație, având în vedere că datele afectate / șterse de HermeticWiper nu pot fi recuperate.
  • Aplicați imediat update-urile de securitate necesare pentru software-ul utilizat, în special pentru serverele Microsoft Exchange sau Apache Tomcat.
  • Urmăriți indicatorii de compromis (IOC) HermeticWiper pe care Directoratul i-a inclus în această alertă sau cei comunicați de furnizorii de soluții de securitate cibernetică.
  • Urmăriți, în paralel cu indicatorii de compromis HermeticWiper, și indicatorii de compromitere de rețea (de tip IP sau domenii) pentru care recomandăm includerea acestora în listele de tip threat intelligence ale echipamentelor de securitate din cadrul organizației dumneavoastră.
  • Folosiți un scanner de IOC-uri (cum ar fi „LOKI Open-Source IOC Scanner”) pentru a automatiza monitorizarea indicatorilor de compromis în cadrul infrastructurii IT.
  • Monitorizați atent fluxurile de date și componentele interconectate direct cu parteneri ucraineni și/sau situate în rețelele ucrainene, dar și celelalte conexiuni către exterior.
  • Aplicați principiul celui mai mic privilegiu pentru toate sistemele cheie cu posibilitate de acces la distanță pe care le gestionați.
  • Contactați imediat Directoratul, în cazul în care ați fost afectați de un atac cu HermaticWiper.

Urmărește mai jos producțiile video ale Economedia: