Dne 23. února identifikovala společnost Eset na Ukrajině výskyt nového destruktivního malware typu wiper, který způsobuje smazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Malware nazvaný HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí, podle dostupných informací wiper mířil na finanční instituce a vládní kontraktory. Finální výčet zasažených cílů aktuálně není znám, dle dostupných informací byly zasaženy i některé instituce v Litvě a Lotyšsku.
Binární soubory mají validní digitální podpis společnosti Hermetica Digital Ltd. a datum kompilace 28. 12. 2021. Z analýz několika napadených institucí vyplývá, že byly kompromitovány už v průběhu listopadu a prosince loňského roku, což poukazuje na dlouhodobě vedenou a plánovanou akci. Způsoby kompromitace a šíření wiperu v síti se v jednotlivých případech liší. Zaznamenány byly případy zneužití zranitelností SMB, Apache Tomcat a Microsoft Exchange. K šíření byl v několika případech použit malware typu červ označený společností Eset jako HermeticWizard pravděpodobně vyvinutý specificky k tomuto účelu. V dalších případech je pak potvrzeno šíření pomocí doménových politik (GPO) a plánovaných úloh.
Tento rok se spolu s útokem wiperu WhisperGate v polovině ledna jedná již o druhý kybernetický útok na Ukrajině cílící na destrukci dat. V den invaze ruských sil 24. 2. pak byl zaznamenán třetí útok na systémy několika ukrajinských vládních institucí wiperem obdobné funkcionality pojmenovaný společností Eset „IsaacWiper“. V současné době nicméně není známá jeho přímá spojitost s HermeticWiper, soubory nejsou podepsané stejnou společností a mají dřívější datum kompilace, v některých případech už 19. 10. 2021.
Nelze vyloučit, že se s ohledem na situaci mohou stát cílem útoků i české instituce. NÚKIB k této hrozbě vydal 28. 1. upozornění a následně 25. 2. varování podle zákona o kybernetické bezpečnosti.
Státním i soukromým institucím v reakci doporučujeme:
- zkontrolovat uvedené indikátory kompromitace v rámci svých systémů,
- mít připravené zálohy důležitých aktiv na fyzicky odděleném offline médiu a ověřenou jejich funkčnost,
- zkontrolovat stav antivirového řešení, konkrétně zdali je korektně spuštěno na všech zařízeních a aktualizováno,
- provést audit privilegovaných účtů, doménových politik a plánovaných úloh,
- ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit.
