Ucrânia sofre ciberataques do malware HermeticWiper
SentinelOne explica as
técnicas usadas pela ameaça que destroem dados
Além
dos ataques militares russos, a Ucrânia vivencia ciberataques de um malware que
destrói informações, o HermeticWiper. Ontem (23), a comunidade de inteligência
de ameaças da SentinelOne começou a observar uma nova amostra do malware Wiper
circulando em organizações ucranianas. Esse tipo de ataque não visa lucros, mas
causar danos.
A
análise da SentinelOne mostra que um driver autenticado está sendo usado para
implantar um wiper, ou limpador, que apaga totalmente os discos no Windows,
depois de excluir as cópias shadow, manipula o MBR (Master Boot Record que
inicializa o armazenado em uma unidade do disco), logo após a reinicialização.
Esse
wiper, apelidado de HermeticWiper, está sendo usado ativamente contra
organizações ucranianas.
Francisco
Camargo, CEO da CLM, que distribui as soluções da SentinelOne, acalma os
clientes que usam a tecnologia da SentinelOne. “Todos as empresas estão
protegidas e não precisam fazer nada”.
Contexto
Em 23
de fevereiro, nossos colegas de pesquisa da Symantec e da ESET tuitaram hashes
associados a um ataque de limpeza na Ucrânia, incluindo um que não estava
disponível publicamente até o momento.
“Começamos a analisar esse novo malware que apaga completamente os discos o apelidamos de 'HermeticWiper' em referência ao certificado digital usado para autenticar o driver”, conta a SentinelOne. O certificado digital é emitido em nome da empresa 'Hermetica Digital Ltd' e é válido a partir de abril de 2021. No momento, não vimos nenhum arquivo legítimo assinado com este certificado. É possível que os invasores tenham usado uma empresa de fachada ou se apropriaram de uma empresa extinta para emitir esse certificado digital.
Análise
técnica inicial
À primeira vista, o HermeticWiper parece ser um aplicativo personalizado com poucas funções. O malware tem parcos 114 KBs de tamanho e aproximadamente 70% disso é usado para recursos. Os desenvolvedores usam uma técnica testada e comprovada de malware de limpeza, que se aproveita de um driver benigno de gerenciamento de partição, a fim executar os componentes mais prejudiciais de seus ataques. Tanto o Lazarus Group (Destover) quanto o APT33 (Shamoon) usaram o Eldos Rawdisk para obter acesso direto ao sistema de arquivos sem chamar as APIs do Windows. O HermeticWiper usa uma técnica semelhante ao se valer de um driver diferente, empntdrv.sys.
Recursos
HermeticWiper contendo drivers EaseUS Partition Manager
As
cópias do driver são esses recursos compactados. O malware implanta um deles,
dependendo da versão do sistema operacional, quantidade de bits e
redirecionamento SysWow64.
Seleção
de recursos do driver EaseUS
O
driver benigno EaseUS é usado para fazer uma parte legítima do trabalho pesado
quando se trata de acessar unidades físicas diretamente, bem como obter
informações de partição. Isso aumenta a dificuldade de analisar o
HermeticWiper, pois muitas funcionalidades são adiadas para chamadas
DeviceIoControl com IOCTLs específicos.
MBR e
corrupção de partição
O HermeticWiper enumera um intervalo de unidades físicas várias vezes, de 0 a 100. Para cada unidade física, o dispositivo \\.\EPMNTDRV\ é acionado por um número de dispositivo.
Análise
MFT e chamadas de manipulação de bits
A
SentinelOne faz alguma referência à função de manipulação de bits, mas não
entra nos detalhes. Ao examiná-la, é possível ver as chamadas para APIs do
Windows para obter um provedor de contexto criptográfico e gerar bytes
aleatórios. “É provável que isso esteja sendo usado para uma implementação de
criptografia embutida e substituição de bytes, mas o mecanismo não está
totalmente claro no momento”, avaliam os analistas da SentinelOne.
Outras
funcionalidades se referem a campos MFT interessantes ($bitmap, $logfile) e NTFS streams ($DATA, $I30, $INDEX_ALLOCATION). O
malware também enumera pastas comuns ('Meus Documentos', 'Desktop', 'AppData'),
faz referências ao registro ('ntuser') e aos Logs de Eventos do Windows ("\\\\?\\C:\\Windows\\System32\\winevt\\Logs").
“Nossa
análise está em andamento para determinar como essa funcionalidade está sendo
usada, mas está claro que já tendo corrompido o MBR e as partições de todas as
unidades, o sistema da vítima deve estar inoperante neste ponto da execução”,
assinala a SentinelOne.
Ao longo do caminho, as operações mais vulgares do HermeticWiper fornecem mais IOCs para monitorar. Isso inclui a criação momentânea do driver violado, bem como um serviço do sistema. Ele também modifica várias chaves de registro, incluindo a configuração da chave SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled para 0, desativando efetivamente os despejos de memória antes que a execução do driver atacado comece.
Desativando
CrashDumps por meio do registro
Por
fim, o malware aguarda os threads adormecidos antes de iniciar o desligamento
do sistema, finalizando o efeito devastador do malware.
Conclusão
Após
uma semana de desfigurações e ataques DDoS crescentes, a proliferação de
operações de sabotagem por meio de malware de limpeza é uma escalada esperada e
lamentável. “Neste momento, temos uma pequena janela de abertura para os
ataques efetuados na Ucrânia e subsequentes repercussões em países vizinhos e
aliados. Se há um lado positivo em uma situação tão difícil, é ver a
colaboração aberta entre equipes de pesquisa de inteligência de ameaças,
pesquisadores independentes e jornalistas que procuram esclarecer a história.
Nossos agradecimentos aos pesquisadores da Symantec, ESET, Stairwell e
RedCanary, entre outros que contribuíram com amostras, tempo e experiência”,
finaliza a análise da SentinelOne.
Sobre
a CLM
CLM é
um distribuidor latino-americano de valor agregado com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud. A
empresa foi recentemente premiada com o título de melhor distribuidor latino-americano
pela Nutanix, prêmio alcançado pela qualidade e rapidez nos serviços prestados
aos canais.
Com
sede em São Paulo, a empresa possui subsidiárias no Chile, Colômbia, EUA e
Peru. Com extensa rede de VARs na América Latina e enorme experiência no
mercado, a CLM está constantemente em busca de soluções inovadoras e
disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.
Sobre
a SentinelOne
A
solução de cibersegurança da SentinelOne abrange prevenção, detecção, resposta
e busca, baseado em inteligência artificial em endpoints, contêineres, cargas
de trabalho na nuvem e dispositivos IoT em uma única plataforma XDR autônoma.
Mais informações sobre o SentinelOne Singularity:
www.clm.com.br/fabricantes/sentinelone/
Nenhum comentário