Rússia x Ucrânia: guerra física e cibernética

O Ministro da Transformação Digital da Ucrânia, Mykhailo Fedoro, comunicou em seu Twitter, que tudo funciona de maneira estável, mas que segue trabalhando para proteger todo o ciberespaço. O malware HermeticWiper é o responsável por vários ataques contra organizações ucranianas, sendo capaz de apagar totalmente os discos no Windows

Compartilhar:

Nas últimas semanas, a tensão entre Rússia, Ucrânia e os países da Otan tem chamado atenção de todo o mundo. O envio de militares para as fronteiras e a autorização do Congresso russo para uso de tropas no exterior aumentou ainda mais os rumores sobre uma guerra. Na madrugada desta quinta-feira (24), imagens de explosões e movimentações de tanques em diferentes pontos das cidades ucranianas repercutiram nos principais sites de notícias.

 

Assim como o conflito reflete negativamente em vários aspectos, no mundo virtual não é diferente, páginas do Ministério das Relações Exteriores e do Parlamento ficaram indisponíveis na tarde de ontem (23), após sofrerem um ataque cibernético. Dois grandes bancos também teriam sido afetados por conta das ações de hackers.

 

A empresa de conectividade NetBlocks twittou sobre as interrupções em sua conta oficial, dizendo que “o incidente parece consistente com os recentes ataques DDoS”. Outra publicação ressalta que a cidade de Kharkiv, na Ucrânia, continua sofrendo com os impactos das interrupções de rede e telecomunicações, deixando muitos usuários isolados em meio a cenas de destruição.

 

Em sua conta no Twitter, Mykhailo Fedoro, Ministro da Transformação Digital na Ucrânia, relatou que foi uma noite difícil em termos de Segurança Cibernética e afirmou que está protegendo todo o ciberespaço. “A Ucrânia tem experiência e continua a combater ataques ininterruptos às principais fontes de informação. A partir de agora tudo funciona estável. Mantenha a calma e não entre em pânico”, diz Ministro da Transformação Digital.

 

Declaração do Ministro da Transformação Digital da Ucrânia – Twitter

 

 

 

Segundo informações da CNN Brasil, autoridades ucranianas chegaram a dizer no início desta semana que viram avisos on-line de que hackers estavam se preparando para lançar grandes ataques contra agências governamentais, bancos e o setor de Defesa. O que de fato, se concretizou nesta madrugada.

 

Malware é identificado em ataque contra organizações ucranianas 

 

Pesquisadores da Symantec e da ESET tuitaram hashtags associados a um ataque de limpeza na Ucrânia, incluindo um que não estava disponível publicamente até o momento. A comunidade de inteligência de ameaças logo começou a observar uma nova amostra do malware Wiper circulando em organizações ucranianas. Esse tipo de ataque não visa lucros, mas causar danos.

 

A análise mostra que um driver autenticado está sendo usado para implantar um wiper, ou limpador, que apaga totalmente os discos no Windows, depois de excluir as cópias shadow, manipula o MBR (Master Boot Record que inicializa o armazenado em uma unidade do disco), logo após a reinicialização.

 

“Começamos a analisar esse novo malware que apaga completamente os discos o apelidamos de ‘HermeticWiper’ em referência ao certificado digital usado para autenticar o driver. O certificado digital é emitido em nome da empresa ‘Hermetica Digital Ltd’ e é válido a partir de abril de 2021. No momento, não vimos nenhum arquivo legítimo assinado com este certificado. É possível que os invasores tenham usado uma empresa de fachada ou se apropriaram de uma empresa extinta para emitir esse certificado digital”, conta a SentinelOne.

 

À primeira vista, o HermeticWiper parece ser um aplicativo personalizado com poucas funções. O malware tem parcos 114 KBs de tamanho e aproximadamente 70% disso é usado para recursos. Os desenvolvedores usam uma técnica testada e comprovada de malware de limpeza, que se aproveita de um driver benigno de gerenciamento de partição, a fim executar os componentes mais prejudiciais de seus ataques. Tanto o Lazarus Group (Destover) quanto o APT33 (Shamoon) usaram o Eldos Rawdisk para obter acesso direto ao sistema de arquivos sem chamar as APIs do Windows.

 

As cópias do driver são esses recursos compactados. O malware implanta um deles, dependendo da versão do sistema operacional, quantidade de bits e redirecionamento SysWow64.

 

O malware então se concentra em corromper os primeiros 512 bytes, o Master Boot Record (MBR) para cada unidade física. Embora isso deva ser suficiente para o dispositivo não inicializar novamente, o HermeticWiper processa a numeração das partições de todas as unidades possíveis.

 

“Nossa análise está em andamento para determinar como essa funcionalidade está sendo usada, mas está claro que já tendo corrompido o MBR e as partições de todas as unidades, o sistema da vítima deve estar inoperante neste ponto da execução”, assinala a SentinelOne.

 

*Com informações das agências internacionais 

 

Conteúdos Relacionados

Security Report | Destaques

Apagão Cibernético traz lição sobre vulnerabilidade da cadeia global

A crise desencadeada pela falha na atualização do ambiente CrowdStrike mostrou como a hiperdependência de sistemas digitais pode levar a...
Security Report | Destaques

Falha em ambiente CrowdStrike provoca apagão cibernético

Diversas organizações ao redor do mundo, incluindo Linhas Aéreas, Instituições financeiras e varejistas enfrentam uma pane geral em seus sistemas....
Security Report | Destaques

SESC MG aprimora estratégia de segurança cibernética

Em parceria com a Lumu Technologies, a instituição tinha como demanda melhorar as diretrizes de Cibersegurança, superando os desafios de...
Security Report | Destaques

Procon-SP abre investigação sobre vazamento de dados na Netshoes

Devido a um incidente cibernético contra seus sistemas internos, o e-commerce de artigos esportivos alertou o mercado na última quarta-feira...