Nas últimas semanas, a tensão entre Rússia, Ucrânia e os países da Otan tem chamado atenção de todo o mundo. O envio de militares para as fronteiras e a autorização do Congresso russo para uso de tropas no exterior aumentou ainda mais os rumores sobre uma guerra. Na madrugada desta quinta-feira (24), imagens de explosões e movimentações de tanques em diferentes pontos das cidades ucranianas repercutiram nos principais sites de notícias.
Assim como o conflito reflete negativamente em vários aspectos, no mundo virtual não é diferente, páginas do Ministério das Relações Exteriores e do Parlamento ficaram indisponíveis na tarde de ontem (23), após sofrerem um ataque cibernético. Dois grandes bancos também teriam sido afetados por conta das ações de hackers.
A empresa de conectividade NetBlocks twittou sobre as interrupções em sua conta oficial, dizendo que “o incidente parece consistente com os recentes ataques DDoS”. Outra publicação ressalta que a cidade de Kharkiv, na Ucrânia, continua sofrendo com os impactos das interrupções de rede e telecomunicações, deixando muitos usuários isolados em meio a cenas de destruição.
Em sua conta no Twitter, Mykhailo Fedoro, Ministro da Transformação Digital na Ucrânia, relatou que foi uma noite difícil em termos de Segurança Cibernética e afirmou que está protegendo todo o ciberespaço. “A Ucrânia tem experiência e continua a combater ataques ininterruptos às principais fontes de informação. A partir de agora tudo funciona estável. Mantenha a calma e não entre em pânico”, diz Ministro da Transformação Digital.
Segundo informações da CNN Brasil, autoridades ucranianas chegaram a dizer no início desta semana que viram avisos on-line de que hackers estavam se preparando para lançar grandes ataques contra agências governamentais, bancos e o setor de Defesa. O que de fato, se concretizou nesta madrugada.
Malware é identificado em ataque contra organizações ucranianas
Pesquisadores da Symantec e da ESET tuitaram hashtags associados a um ataque de limpeza na Ucrânia, incluindo um que não estava disponível publicamente até o momento. A comunidade de inteligência de ameaças logo começou a observar uma nova amostra do malware Wiper circulando em organizações ucranianas. Esse tipo de ataque não visa lucros, mas causar danos.
A análise mostra que um driver autenticado está sendo usado para implantar um wiper, ou limpador, que apaga totalmente os discos no Windows, depois de excluir as cópias shadow, manipula o MBR (Master Boot Record que inicializa o armazenado em uma unidade do disco), logo após a reinicialização.
“Começamos a analisar esse novo malware que apaga completamente os discos o apelidamos de ‘HermeticWiper’ em referência ao certificado digital usado para autenticar o driver. O certificado digital é emitido em nome da empresa ‘Hermetica Digital Ltd’ e é válido a partir de abril de 2021. No momento, não vimos nenhum arquivo legítimo assinado com este certificado. É possível que os invasores tenham usado uma empresa de fachada ou se apropriaram de uma empresa extinta para emitir esse certificado digital”, conta a SentinelOne.
À primeira vista, o HermeticWiper parece ser um aplicativo personalizado com poucas funções. O malware tem parcos 114 KBs de tamanho e aproximadamente 70% disso é usado para recursos. Os desenvolvedores usam uma técnica testada e comprovada de malware de limpeza, que se aproveita de um driver benigno de gerenciamento de partição, a fim executar os componentes mais prejudiciais de seus ataques. Tanto o Lazarus Group (Destover) quanto o APT33 (Shamoon) usaram o Eldos Rawdisk para obter acesso direto ao sistema de arquivos sem chamar as APIs do Windows.
As cópias do driver são esses recursos compactados. O malware implanta um deles, dependendo da versão do sistema operacional, quantidade de bits e redirecionamento SysWow64.
O malware então se concentra em corromper os primeiros 512 bytes, o Master Boot Record (MBR) para cada unidade física. Embora isso deva ser suficiente para o dispositivo não inicializar novamente, o HermeticWiper processa a numeração das partições de todas as unidades possíveis.
“Nossa análise está em andamento para determinar como essa funcionalidade está sendo usada, mas está claro que já tendo corrompido o MBR e as partições de todas as unidades, o sistema da vítima deve estar inoperante neste ponto da execução”, assinala a SentinelOne.
*Com informações das agências internacionais