Securitate Cibernetică / Directoratul Naţional de Securitate Cibernetică atenţionează în legătură cu un nou malware distructiv, folosit pentru atacuri cibernetice vizând organizaţii guvernamentale şi private.
„Un nou malware destructive numit HermeticWiper (alias KillDisk.NCV) este folosit activ în contextul escaladării conflictului militar din Ucraina pentru atacuri cibernetice care au ca ţintă organizaţii guvernamentale şi private, afectând factori de decizie, personal tehnic, dar şi utilizatori obişnuiţi. HermeticWiper este un executabil mic, de aproximativ 115 KB, semnat digital cu un certificat emis către ‘Hermetica Digital Ltd’ şi valabil în perioada aprilie 2021 – aprilie 2022.
Malware-ul se foloseşte de un driver legitim (asociat cu software-ul EaseUS Partition Master) pentru a corupe datele de pe harddisk-uri, inclusiv zona MBR (Master Boot Record). Pasul final al atacului cu HermeticWiper este inactivarea computerului victimă prin repornirea acestuia”, explică experţii DNSC pe pagina de Facebook a instituţiei.
Atacurile cu HermeticWiper au fost cel mai probabil pregătite cu câteva luni în avans, atacatorii obținând acces la rețelele / infrastructura victimelor încă din noiembrie 2021, exploatând inițial vulnerabilități cunoscute ale serverelor Microsoft Exchange sau Apache Tomcat.
Accesul inițial a fost, de obicei, urmat de furt de credențiale de acces, mișcare laterală și web shells. HermeticWiper se propagă la nivel de Active Directory prin intermediul Group Policy Objects (GPO). Aceasta este o indicație a faptului că atacul este inițiat când atacatorii au preluat deja controlul parțial sau complet asupra rețelei / infrastructurii informatice.
Până în acest moment, Directoratul nu a înregistrat la nivelul României atacuri HermeticWiper.
Recomandările #DNSC în zona de comentarii.
Sursă foto: g4media.ro
Articolul initial: https://www.facebook.com/108038108253018/posts/153977980325697
