Rússia x Ucrânia: guerra física e cibernética

O Ministro da Transformação Digital da Ucrânia, Mykhailo Fedoro, comunicou em seu Twitter, que tudo funciona de maneira estável, mas que segue trabalhando para proteger todo o ciberespaço. O malware HermeticWiper é o responsável por vários ataques contra organizações ucranianas, sendo capaz de apagar totalmente os discos no Windows

Compartilhar:

Nas últimas semanas, a tensão entre Rússia, Ucrânia e os países da Otan tem chamado atenção de todo o mundo. O envio de militares para as fronteiras e a autorização do Congresso russo para uso de tropas no exterior aumentou ainda mais os rumores sobre uma guerra. Na madrugada desta quinta-feira (24), imagens de explosões e movimentações de tanques em diferentes pontos das cidades ucranianas repercutiram nos principais sites de notícias.

 

Assim como o conflito reflete negativamente em vários aspectos, no mundo virtual não é diferente, páginas do Ministério das Relações Exteriores e do Parlamento ficaram indisponíveis na tarde de ontem (23), após sofrerem um ataque cibernético. Dois grandes bancos também teriam sido afetados por conta das ações de hackers.

 

A empresa de conectividade NetBlocks twittou sobre as interrupções em sua conta oficial, dizendo que “o incidente parece consistente com os recentes ataques DDoS”. Outra publicação ressalta que a cidade de Kharkiv, na Ucrânia, continua sofrendo com os impactos das interrupções de rede e telecomunicações, deixando muitos usuários isolados em meio a cenas de destruição.

 

Em sua conta no Twitter, Mykhailo Fedoro, Ministro da Transformação Digital na Ucrânia, relatou que foi uma noite difícil em termos de Segurança Cibernética e afirmou que está protegendo todo o ciberespaço. “A Ucrânia tem experiência e continua a combater ataques ininterruptos às principais fontes de informação. A partir de agora tudo funciona estável. Mantenha a calma e não entre em pânico”, diz Ministro da Transformação Digital.

 

Declaração do Ministro da Transformação Digital da Ucrânia – Twitter

 

 

 

Segundo informações da CNN Brasil, autoridades ucranianas chegaram a dizer no início desta semana que viram avisos on-line de que hackers estavam se preparando para lançar grandes ataques contra agências governamentais, bancos e o setor de Defesa. O que de fato, se concretizou nesta madrugada.

 

Malware é identificado em ataque contra organizações ucranianas 

 

Pesquisadores da Symantec e da ESET tuitaram hashtags associados a um ataque de limpeza na Ucrânia, incluindo um que não estava disponível publicamente até o momento. A comunidade de inteligência de ameaças logo começou a observar uma nova amostra do malware Wiper circulando em organizações ucranianas. Esse tipo de ataque não visa lucros, mas causar danos.

 

A análise mostra que um driver autenticado está sendo usado para implantar um wiper, ou limpador, que apaga totalmente os discos no Windows, depois de excluir as cópias shadow, manipula o MBR (Master Boot Record que inicializa o armazenado em uma unidade do disco), logo após a reinicialização.

 

“Começamos a analisar esse novo malware que apaga completamente os discos o apelidamos de ‘HermeticWiper’ em referência ao certificado digital usado para autenticar o driver. O certificado digital é emitido em nome da empresa ‘Hermetica Digital Ltd’ e é válido a partir de abril de 2021. No momento, não vimos nenhum arquivo legítimo assinado com este certificado. É possível que os invasores tenham usado uma empresa de fachada ou se apropriaram de uma empresa extinta para emitir esse certificado digital”, conta a SentinelOne.

 

À primeira vista, o HermeticWiper parece ser um aplicativo personalizado com poucas funções. O malware tem parcos 114 KBs de tamanho e aproximadamente 70% disso é usado para recursos. Os desenvolvedores usam uma técnica testada e comprovada de malware de limpeza, que se aproveita de um driver benigno de gerenciamento de partição, a fim executar os componentes mais prejudiciais de seus ataques. Tanto o Lazarus Group (Destover) quanto o APT33 (Shamoon) usaram o Eldos Rawdisk para obter acesso direto ao sistema de arquivos sem chamar as APIs do Windows.

 

As cópias do driver são esses recursos compactados. O malware implanta um deles, dependendo da versão do sistema operacional, quantidade de bits e redirecionamento SysWow64.

 

O malware então se concentra em corromper os primeiros 512 bytes, o Master Boot Record (MBR) para cada unidade física. Embora isso deva ser suficiente para o dispositivo não inicializar novamente, o HermeticWiper processa a numeração das partições de todas as unidades possíveis.

 

“Nossa análise está em andamento para determinar como essa funcionalidade está sendo usada, mas está claro que já tendo corrompido o MBR e as partições de todas as unidades, o sistema da vítima deve estar inoperante neste ponto da execução”, assinala a SentinelOne.

 

*Com informações das agências internacionais 

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...