Eine Reihe Ukrainischer Organisationen sind Opfer eines Cyberangriffs geworden. In dessen Zuge wurde ein neue, datenlöschende Malware namens "HermeticWiper" gefunden. ESET Forscher konnten im Laufe ihrer Analyse hunderte betroffene Computer ausmachen. Die Attacke erfolgte nur Stunden nachdem eine Serie an DDoS Angriffen verschiedenste Ukrainische Webseiten offline gehen ließ.
ESET Schutzlösungen erkennen den Schadcode als Win32/KillDisk.NCV. Erstmals wurde er kurz vor 17Uhr lokaler Zeit an diesem Mittwoch entdeckt. Der Zeitstempel, der sagt, wann das analysierte Sample erstellt wurde, zeigt jedoch den 28. Dezmeber 2021. Das deutet darauf hin, dass die Attacke seit längerer Zeit vorbereitet wurde.
Laut ESETs Analysten missbraucht HermeticWiper legitime Treiber der Datenträgerverwaltungssoftware "EaseUS Partition Master" um Dateien zu beschädigen.
Außerdem nutzen die Angreifer echte Code-Signing Zertifikate, die auf die Zypriotische Firma "Hermetica Digital Ltd." ausgestellt wurden, was auch die Namensgebung der Malware erklärt.
Es scheint als sicher, dass mindestens in einem Fall die Hinterleute der Attacke Zugriff auf das Netzwerk eines späteren Opfers hatten, bevor der Angriff gestartet wurde.
Bereits am frühen Mittwoch sind verschiedene Ukrainische Webseiten durch eine neue Welle an DDoS Attacken offline gegangen. Seit Wochen ist die Ukraine solchen Angriffen ausgesetzt.
Schon Mitte Januar konnte ein Data Wiper in der Ukraine entdeckt werden. WhisperGate gab sich dabei als Ransomware aus, was Erinnerungen an die NotPetya Welle weckte. Diese tauchte bereits im Juni 2017 in der Ukraine erstmals auf, bevor sie Systeme weltweit heimsuchte.
Hinweis: Bei neuen Erkenntnissen könnte dieser Artikel aktualisiert werden.
