Várias organizações na Ucrânia foram atingidas por um ataque cibernético envolvendo um novo tipo de malware chamado HermeticWiper que impactou centenas de computadores, de acordo com a equipe de pesquisa da ESET Research que descobriu a ameaça. O comprometimento ocorreu poucas horas após uma série de ataques de negação de serviço distribuído (DDoS) ter deixado vários sites ucranianos fora do ar.
Detectado pelos produtos ESET como Win32/KillDisk.NCV, o wiper de dados foi identificado pela primeira vez pouco antes das 17h, horário local (15h00 UTC), da última quarta-feira (23). Enquanto isso, a linha do tempo no HermeticWiper mostra que a ameaça foi compilada em 28 de dezembro de 2021, o que sugere que o ataque pode ter estado em andamento por algum tempo.
O HermeticWiper utilizou de forma maliciosa drivers legítimos do popular software de gerenciamento de discos para causar estragos nos sistemas das vítimas. "O wiper se aproveita dos drivers legítimos do software EaseUS Partition Master para corromper dados", afirmam pesquisadores da ESET.
Também parece que, em pelo menos um caso, os atacantes tiveram acesso à rede da vítima antes de liberar o malware. Os atacantes usaram um certificado de assinatura de código genuíno emitido por uma empresa sediada em Chipre chamada Hermetica Digital Ltd, daí vem o nome desse malware que apaga dados.
No início desta última quarta-feira (23), os sites de vários bancos e ministérios ucranianos saíram do ar devido a uma nova onda de ataques DDoS que vêm atingindo o país há semanas.
Em meados de janeiro, outro wiper de dados foi distribuído na Ucrânia, visando organizações ucranianas. Chamado WhisperGate, o malware se fez passar por um ransomware e traz alguns ecos do ataque provocado pelo NotPetya que atingiu a Ucrânia em junho de 2017 antes de causar estragos em todo o mundo.
Nota: esta publicação pode ser atualizada à medida que tenhamos mais informações sobre o ataque.