-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Setki komputerów na Ukrainie zainfekowane malwarem niszczącym dane. Używa zaufanych podpisów cyfrowych. Atak mógł być przygotowywany od dwóch miesięcy.

23 lutego 2022, 22:11 | W biegu | komentarzy 11
Tagi:

O temacie donosi na gorąco ekipa Eseta (aktualizacja: świeża analiza techniczna tutaj oraz tutaj) dodając, że być może atak był przygotowywany już od dwóch miesięcy:

the PE compilation timestamp of one of the sample is 2021-12-28, suggesting that the attack might have been in preparation for almost two months.

Złośliwy kod usuwający dane z dysków, jest podpisany zaufanym certyfikatem (utrudnienie wykrycia):

Na koniec notki, mamy również podaną informację, że w przypadku jednej organizacji malware (o kodowej nazwie HermeticWiper) został uruchomiony z poziomu kontrolera domeny Windows (który został wcześniej przejęty):

In one of the targeted organizations, the wiper was dropped via the default (domain policy) GPO meaning that attackers had likely taken control of the Active Directory server.

Nie wyklucza to punktowej instalacji na konkretnych serwerach / PC-tach – po uzyskaniu stosownego dostępu przez napastników (czytaj: zhackowaniu konkretnych systemów).

Problem namierzyła również ekipa Symanteca:

Próbka została zuploadowana na Virustotal, więc kto posiada tam odpowiednie konto może pobrać szkodnika do dalszej analizy:

Poziom detekcji przez silniki antywirusowe jest na razie mizerny: 9/71:

Aktualizacja: techniczna analiza tego malware dostępna jest tutaj.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. xDDD

    Poziom detekcji przez silniki antywirusowe jest na razie mizerny: 9/71:

    No ja tam myślę, że 90% windowsiarzy ma antywirus „Microsoft” (czyli Windows Defender wbudowany w system) więc jakiż to mizerny wynik detekcji? xDDD

    A każdy kto płaci ma raczej Kaspersky’ego który zawsze był topowym antywirem, więc o czym ty autorze gadasz?

    Odpowiedz
    • xDDDDDDD

      A jesteś w stanie podać różnie między bazą wirusów Windows Defendera a jakiegoś Kacperskiego na kiju? xD

      Odpowiedz
    • the_me

      Nie masz pojęcia, o czym piszesz, nie? ;D

      Odpowiedz
    • XxX

      Teraz to malware ;)

      Odpowiedz
    • Luk

      Czy topowym to kwestia sporna, topowy to może być bitdefender lub inne rozwiązania typu qualys czy crowdstrike, które sensownie sprawdzają się w firmach a nie pojedynczym pc.

      Odpowiedz
    • Arek

      A Ty na jaki produkt naganiasz?

      Odpowiedz
    • Kasperskiego – został zidentyfikowany jako rosyjski system szpiegujący.

      Odpowiedz
    • Olo

      antywirus Kaspersky od kolegi Putina. Dzięki ja już zmieniłem.

      Odpowiedz
  2. Michal

    kaspersky wykrywał malware, ale obecnie nie wykrywa skrótu – ktoś kazał usunąć z bazy i odblokować?

    Odpowiedz
  3. Hamster

    A kaspersky nie rosyjski ?

    Odpowiedz
  4. Inżynier

    Kto używa Kasperskiego.
    Przecież to ruskie gówno. To jakby zaprosić Putina na swojego kompa. Dziękuję złotówka moja nie pójdzie na ruskie gówno.

    Odpowiedz

Odpowiedz na Michal