ESET heeft tweede wiper-malware gevonden die Oekraïense systemen treft

Beveiligingsbedrijf ESET zegt dat het meerdere vormen van wiper-malware heeft gedetecteerd in Oekraïne. Naast HermeticWiper heeft het bedrijf ook de malware IsaacWiper gevonden, die zich richtte op Oekraïense overheidsinstellingen.

Securityonderzoekers van het bedrijf hebben meer details naar buiten gebracht over de wiper-malware die het vorige week al ontdekte in Oekraïne. Toen vonden ESET en Symantec een malware die ze HermeticWiper noemden. Die treft systemen van Oekraïense bedrijven en verwijdert zichzelf na afloop van die systemen door zijn eigen files te overschrijven met willekeurige data. Volgens ESET is dat bedoeld om te voorkomen dat onderzoekers beter naar de malware kunnen kijken.

Van HermeticWiper is nog niet bekend hoe het aanvankelijk binnenkomt, maar ESET bevestigt wat het vorige week al zei: dat de malware via Active Directory werd uitgerold over netwerken. Hoewel ESET het eerst had over 'enkele honderden infecties', zegt het nu dat het de wiper 'in ieder geval bij vijf bedrijven' is tegengekomen. Een aanval met HermeticWiper bestaat uit drie componenten. Eerst maakt de wiper zelf een systeem onbruikbaar door data te overschrijven. De tweede component is een ransomwarecomponent die HermeticRansom wordt genoemd. Die is in Go geschreven en zou in een aparte campagne worden ingezet. "Deze ransomware werd gelijktijdig met HermeticWiper ingezet, mogelijk om de wiper te verbergen", zegt het bedrijf. De derde component is HermeticWizard, een wormcomponent waarmee de wiper zich via SMB en WMI door lokale netwerken beweegt.

Naast HermeticWiper ontdekte ESET een tweede destructieve malware die het IsaacWiper noemt. Die zou vooral gericht zijn op overheidsinstellingen in Oekraïne, maar het is niet duidelijk hoeveel ervan geraakt zijn. Ook van IsaacWiper is niet bekend hoe het binnenkomt. ESET zegt dat de code niet overeenkomt met HermeticWiper en dat de malware 'veel minder geavanceerd' is. IsaacWiper zou al sinds 24 februari toe hebben geslagen in Oekraïne, maar volgens ESET stond de malware al in oktober op sommige systemen.

ESET zegt dat de malware enkele uren voorafgaand aan de Russische invasie van Oekraïne toesloeg. Het bedrijf heeft ook aanwijzingen dat de malware al maanden op de systemen stond voor die daar toesloeg. Desondanks wil ESET geen publieke attributie doen van wie de malware heeft verzonden. De code zou niet overeenkomen met bekende malware die al in de systemen van het bedrijf staat, en er is geen link gevonden met bekende threat actors.

Reacties (26)

prodesk 1 maart 2022 15:12

Geldt dit alleen voor Windows of zijn OS X en Linux m.n. Chrome ook kwetsbaar? Ik krijg het idee dat de windows x32/64 legacy hun kwetsbaar maakt.

Tozz @prodesk • 1 maart 2022 15:21

t artikel heeft 't over Active Directory, SMB en WMI. Dat is allemaal Windows.

prodesk @Tozz • 1 maart 2022 15:23

Ik doel er meer op, het feit dat Windows zo lang bestaat en nog met dezelfde codebase werkt uit de jaren 90, heeft hen dat niet extra kwetsbaar gemaakt?

Ik weet dat bijv de Chrome OS een stuk strenger beveiligd is.

Sluuut @prodesk • 1 maart 2022 15:31

Windows is extreem geëvolueerd sinds de jaren 90. De Windows van toen is compleet onvergelijkbaar met die van nu. Alle OS'sen hebben (on)bekende lekken en zijn exploitable, Daarnaast is de zwakste schakel meestal de mens, 95%+ van de ransomware e.d. komen van e-mails af met linkjes waarop mensen klikken.

PolarBear @prodesk • 1 maart 2022 15:32

Ik doel er meer op, het feit dat Windows zo lang bestaat en nog met dezelfde codebase werkt uit de jaren 90, heeft hen dat niet extra kwetsbaar gemaakt?

Alsof Linux, OSX etc geen oude code in de codebase hebben.

Ik weet dat bijv de Chrome OS een stuk strenger beveiligd is.

Daar zijn ook genoeg vulnerabilities https://www.cvedetails.co...320/Google-Chrome-Os.html

Windows is gewoonweg meer gebruikt. Als de Oekrainse overheid volledig op Linux draaide zou daar de focus op gaan zitten. Wellicht lastiger maar niet onmogelijk. Daarbij veel vulnerabilities in Windows zijn ook deels gevolg van niet updaten, verouderde best practises (nou ja die kan je dan geen best practise meer noemen) of domweg onvoldoende aandacht voor de security.

The Third Man @prodesk • 1 maart 2022 16:23

Denk eerder dat het met lekken als Microsoft opens source code to Russian secret service te maken heeft.

Geen enkel modern OS werkt natuurlijk met een uitsluitend jaren '90 codebase, er zitten delen in die in de jaren '90 zijn ontwikkeld. Maar dat geldt net zo goed voor Linux, Macos, FreeBSD en ga zo maar door.

MrMonkE @The Third Man • 2 maart 2022 12:08

If it's good, it's good.
Ook als het 30 jaar oude code is.

Oon

@prodesk • 2 maart 2022 13:47

Datzelfde 'feit' geldt ook voor Linux en OSX. Er is geen enkele goed draaiende partij die elk jaar hun volledige codebase herschrijft

Luchtbakker @prodesk • 1 maart 2022 17:50

Ik doel er meer op, het feit dat Windows zo lang bestaat en nog met dezelfde codebase werkt uit de jaren 90, heeft hen dat niet extra kwetsbaar gemaakt?

Ik weet dat bijv de Chrome OS een stuk strenger beveiligd is.

Hoe groter een OS is, hoe sneller mensen gaan zoeken naar lekken. Gezien Windows het grootste OS is, is het niet vreemd dat virus makers sneller daar virussen voor gaan schrijven en hackers lekken gaan zoeken.

Chrome OS heeft een enorm kleine markt en is niet interessant.

TheVivaldi @Luchtbakker • 1 maart 2022 18:03

[...]

Hoe groter een OS is, hoe sneller mensen gaan zoeken naar lekken.

Dan vraag ik me toch af waarom er zo weinig lekken worden gevonden op Linux-servers in vergelijking met Windows. Linux is op servers toch echt het grootst.

ChromeOS is trouwens gebaseerd op Gentoo, dus ook Linux. En met 10.8% ligt dat marktaandeel ongeveer gelijk met macOS. Niet zo groot als Windows, maar groot genoeg om mee te kunnen praten.

[Reactie gewijzigd door TheVivaldi op 23 juli 2024 08:41]

GoBieN-Be @TheVivaldi • 1 maart 2022 21:29

Genoeg ernstige lekken gevonden in de afgelopen jaren betreffende kritieke onderdelen van Linux servers zoals OpenSSL, pkexec, bash/busybox en de kernel zelf. Of veel gebruikte onderdelen zoals Log4J recent nog.

Alfa1970 @Tozz • 1 maart 2022 17:55

SMB kun je met Samba doen, en daarme kan dit theoretisch ook op Linux systemen voor problemen zorgen.

Snow_King

@prodesk • 1 maart 2022 20:20

Ik denk dat het vooral heel belangrijk is om diversiteit aan te brengen in je systemen. Linux != Linux bijvoorbeeld.

RHEL en Ubuntu zijn al heel anders. Een vorm schrijven die op beide perfect zou werken is al lastiger.

Wat ik zo lees zijn in Oekraine veel Windows systemen gewoon en oud en slecht gepatched, daardoor zijn ze erg kwetsbaar.

Maar mixen van OS'en is gewoon belangrijk. Windows, Linux, BSD, door elkaar heen verschillende taken laten uitvoeren. Zo wordt het heel lastig om een beheer bedrijf te treffen.

Maar vooral: In je eigen netwerk ook niets vertrouwen. Gewoon alles zien alsof het direct aan het internet hangt en daar je maatregelen op treffen.

Ik run een serverpark met duizenden servers die allemaal direct aan het internet hangen. OOK hele belangrijke systemen. Het is prima te doen mits je maar je updates en maatregelen op orde hebt.

Het internet is niet eng.

mschuurman @Snow_King • 1 maart 2022 21:50

Leuke theorie, maar onze IP whitelist heeft toch echt de Tableau Servers van onze klanten beschermt tegen de log4j hack.

Cyb 1 maart 2022 16:38

Mooi dat ESET met de situatie in Oekraine bezig is. ESET zit dan ook in buurland Slowakije, dus het ligt dicht bij hun hart. Ook BitDefender, uit buurland Roemenie, is bezig met de situatie. Net als Avast (Tsjechisch), F-Secure (Finland) en G-Data (Duitsland). Zo bieden sommigen momenteel gratis diensten aan voor mensen in Oekraine.

Ook Kaspersky (buurland Rusland, eigendom van mensen van de FSB) heeft vandaag wat laten weten over de Oekraine, waaronder:
https://twitter.com/e_kaspersky/status/1498547337043525633

We welcome the start of negotiations to resolve the current situation in Ukraine and hope that they will lead to a cessation of hostilities and a compromise. We believe that peaceful dialogue is the only possible instrument for resolving conflicts. War isn’t good for anyone.

Ook Eugene Kaspersky (een Russiche oligarch) ziet dus graag een einde komen aan het conflict. Op een aantal oligarchen rusten sancties, op de Kasperskies nog niet zover ik weet. (Althans, geen sancties vanwege het Oekraine conflict, wel andere sancties.) Of zijn vrouw (een van de welvarendste vrouwen in Rusland) er ook zo over denkt, weet ik niet.

Edit: tekst over Kaspersky aangepast.

[Reactie gewijzigd door Cyb op 23 juli 2024 08:41]

TheVivaldi @Cyb • 1 maart 2022 17:39

Bij Kaspersky (buurland Rusland, eigendom van mensen van de FSB) is het echter opvallend stil, ze berichten niet over de Oekraine situatie.

Beetje flauw dat je zulke onwaarheden verspreidt, want Kaspersky heeft er wel degelijk wat over gezegd: https://s1.securityweek.c...er-ransomware-smokescreen

Researchers at Kaspersky's Global Research and Analysis Team (GReAT) describe the HermeticRansom data-encryption component as a “smokescreen” and confirmed it was used to target assets on the same day as the HermeticWiper malware.

“Given the circumstances under which HermeticRansom appeared, including the date, time and victims’ geo-locations, we have moderate confidence it is connected with HermeticWiper’s general objectives – destroying or otherwise making Windows systems unusable due to data loss,” Kaspersky said.

“[This is an] excellent example of a targeted attack preventing victims from using their data while also potentially acting as a smokescreen for further attacks. The simplicity of the code, along with the grammar and spelling errors left in the ransom note, probably indicate that it was a last-minute operation, potentially deployed to boost the effectiveness of other cyber-attacks on Ukraine,” Kaspersky added.

[Reactie gewijzigd door TheVivaldi op 23 juli 2024 08:41]

Cyb @TheVivaldi • 1 maart 2022 18:05

Je hebt gelijk, die was blijkbaar ook nog vandaag gepost. Ik pas mijn bericht aan.

Keypunchie

Malware

1 maart 2022 15:33

ESET zegt dat de malware enkele uren voorafgaand aan de Russische invasie van Oekraïne toesloeg. Het bedrijf heeft ook aanwijzingen dat de malware al maanden op de systemen stond voor die daar toesloeg. Desondanks wil ESET geen publieke attributie doen van wie de malware heeft verzonden.

Wat een raadsel, inderdaad, maar ik denk dat we Liechtenstein wel kunnen uitsluiten!

kiddingguy @Keypunchie • 1 maart 2022 18:44

Toch wel vreemd dat dit dan best lang onopgemerkt op systemen heeft kunnen draaien & zich verspreiden.
Uiteindelijk dan toch denk ik een - nog niet bekende - zero-day exploit? Of hoe werkt dit precies dat dit soort malware lang op systemen kan verblijven zonder ontdekt te worden?

wankel @kiddingguy • 1 maart 2022 19:48

Toch wel vreemd [...] dat dit soort malware lang op systemen kan verblijven zonder ontdekt te worden?

Niet echt. Je kan het een beetje voorkomen door te werken met een lijst met toegestane software op je machines, en dan telkens bijvoorbeeld de hashes van de bestanden vergelijkt met een bekende hash van vertrouwde pakketten.

Nu worden bijvoorbeeld de hashes van (honderdduizenden) bestanden op je machine (er van uitgaande dat je een machine met een AV-programma hebt) vergeleken met een database aan hashes van bekende malware.

Dat is net het omgekeerde. Het voordeel is dat je (voor het AV-programma) nieuwe software kunt installeren, het nadeel is dat wanneer een 'goed' programma overloopt en een 'slecht' programma wordt, het er voor je AV-programma uitziet als een 'nieuw' 'goed' programma. Pas later kan de hash toegevoegd worden aan de lijst met bekende 'slechte' programma's

Wouterie @kiddingguy • 1 maart 2022 20:25

Doet me altijd denken aan dat spelletje: Plague inc. Zolang jouw ziekte niets doet behalve zich verspreiden kun je de gehele wereld infecteren. Dan druk je op de knopjes en voilà iedereen valt dood neer.
Zolang je onder de radar blijft en gericht systemen infecteert maar geen schade aanricht, dan val je niet op.

Tweekzor @Keypunchie • 1 maart 2022 16:15

Raadsel of niet, het is gewoon bedrijfspolicy van ESET om geen attributie te doen zonder uitsluitend bewijs. En laat dát nou net moeilijk zijn als je enkel een stukje code hebt en een emailadres. Andere bedrijven zouden dat voorbeeld best wat vaker mogen volgen ipv puur voor de media maar speculatie Rusland en China er uit gooien. Of dat onder het mom van marketing of propaganda gebeurd laat ik dan maar in het midden, laten we maar van het beste uit gaan.

Wouterie @Tweekzor • 2 maart 2022 12:04

Ik denk dat het heel verstandig is van ESET om heel voorzichtig te zijn op dat gebied. Laat de politiek maar aan de politiek. Ik wil ook niet van mijn huisarts horen wat zijn mening is over de herkomst van Corona, ik wil dat mijn huisarts zich bezig houdt met het identificeren en bestrijden van ziektes en het helpen van zieken.

Anoniem: 1201820 1 maart 2022 17:01

Is er ook een russische versie van en valt die dan ook onder een handelsembargo?

Wouterie @Anoniem: 1201820 • 2 maart 2022 12:04

Alleen als je losgeld moet betalen, want dat mag dan weer niet.

Peter_Utrecht 4 maart 2022 18:58

Free HermeticRansom Ransomware Decryptor Released: https://threatpost.com/fr...ecryptor-released/178762/

Op dit item kan niet meer gereageerd worden.

ESET heeft tweede wiper-malware gevonden die Oekraïense systemen treft

Lees meer

Reacties (26)

Sorteer op:

Weergave: