【目次】
概要
【図表】
Embedded drivers
Signature of embedded drivers
出典: https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/
【別名】
マルウェア名 | 名称使用組織 |
---|---|
HermeticWiper | 一般的 |
FoxBlade | Microsoft |
KillDisk | Symantec |
【概要】
項目 | 内容 |
---|---|
動作 | ハードディスク上のすべてのファイルの列挙 パーティション情報を消去 システムが強制的に再起動 |
機能 | 一定期間のスリープ システムシャットダウン |
署名 | Hermetica Digital Ltd. (失効済み) |
ワイプ処理 | EaseUS Partition Master(ドライバー)を利用。MBRや設定を上書き、CrashDumpsを無効化(解析妨害) |
感染先 | ウクライナの金融機関 ウクライナ政府にサービスを提供しているラトビアとリトアニアの2つの請負業者 ウクライナの数百台のコンピュータ(ESETの情報) |
感染時期 | 昨年末(ESETが入手した検体のコンパイル日時は 2021/12/28)、Symantecの調査では 2021/11には感染していた可能性あり |
攻撃開始時期 | 2022/02/23 16:52 |
感染拡大方法 | Active Directoryのグループポリシーを使って侵入先を拡大 (CyberArk) ドメインコントローラーは稼働させたままにする ⇒ 標的の限定、標的組織内での徹底的な破壊活動 |
ファイルサイズ | 114KB |
■表示画面
https://unit42.paloaltonetworks.jp/preparing-for-cyber-impact-russia-ukraine-crisis/
【最新情報】
◆Ukraine links data-wiping attack on news agency to Russian hackers (BleepingComputer, 2023/01/18 14:57)
[ウクライナ、通信社へのデータ消去攻撃をロシアのハッカーと関連付ける]
https://www.bleepingcomputer.com/news/security/ukraine-links-data-wiping-attack-on-news-agency-to-russian-hackers/
⇒ https://malware-log.hatenablog.com/entry/2023/01/18/000000
記事
【ニュース】
■2022年
◇2022年2月
□2022年2月23日(水)
◆New data-wiping malware used in destructive attacks on Ukraine (BleepingComputer, 2022/02/23 17:31)
[ウクライナへの破壊的攻撃で使用された新しいデータ消去マルウェア]
https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/
⇒ https://malware-log.hatenablog.com/entry/2022/02/23/000000_5
□2022年2月24日(木)
◆ウクライナで大規模サイバー攻撃、一部はデータ消去ソフトを利用か (ロイター, 2022/02/24 01:05)
https://jp.reuters.com/article/ukraine-crisis-cyber-idJPKBN2KS1HN
⇒ https://malware-log.hatenablog.com/entry/2022/02/24/000000_8
□2022年2月25日(金)
◆ウクライナへの新たなワイパー攻撃、仕込まれたのは昨年末──ESETが解説 (ITmedia, 2022/02/25 07:47)
https://www.itmedia.co.jp/news/articles/2202/25/news072.html
⇒ https://malware-log.hatenablog.com/entry/2022/02/25/000000_1
◆ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見 (Gigazine, 2022/02/25 11:04)
https://gigazine.net/news/20220225-ukraine-ddos-hermetic-wiper/
⇒ https://malware-log.hatenablog.com/entry/2022/02/25/000000_2
◆ウクライナへの攻撃、MBR破壊の新型マルウェア見つかる (ZDNet, 2022/02/25 16:04)
https://japan.zdnet.com/article/35184056/
⇒ https://malware-log.hatenablog.com/entry/2022/02/25/000000
□2022年2月26日(土)
◆ウクライナ政府&銀行サイトがダウン。マシン数百台に仕込まれたデータ消去のマルウェアが発動 (Gizmode, 2022/02/26 07:00)
https://www.gizmodo.jp/2022/02/cyber-attack-ukraine.html
⇒ https://malware-log.hatenablog.com/entry/2022/02/26/000000
□2022年2月28日(月)
◆ウクライナ狙う破壊的マルウェア、他国にも広がるおそれ - 米政府が警戒呼びかけ (Security NEXT, 2022/02/28)
https://www.security-next.com/134441
⇒ https://malware-log.hatenablog.com/entry/2022/02/28/000000_6
◇2022年3月
□2022年3月1日(火)
◆「破壊的なサイバー攻撃」がロシアによる侵攻直前にウクライナを襲ったもののMicrosoftが速攻で対応していた (Gigazine, 2022/03/01 11:08)
https://gigazine.net/news/20220301-ukraine-russia-digital-war/
⇒ https://malware-log.hatenablog.com/entry/2022/03/01/000000_15
□2022年3月2日(水)
◆ウクライナ攻撃に新たな破壊型マルウェア、軍事侵攻に合わせて実行か (ZDNet, 2022/03/02 10:12)
https://japan.zdnet.com/article/35184275/
⇒ https://malware-log.hatenablog.com/entry/2022/03/02/000000_11
□2022年3月31日(木)
◆ウクライナを狙うデータ消去マルウェア「HermeticWiper」 (ASCII.jp, 2022/03/31 14:00)
https://ascii.jp/elem/000/004/087/4087813/
⇒ https://malware-log.hatenablog.com/entry/2022/03/31/000000_2
■2023年
◇2023年1月
◆Ukraine links data-wiping attack on news agency to Russian hackers (BleepingComputer, 2023/01/18 14:57)
[ウクライナ、通信社へのデータ消去攻撃をロシアのハッカーと関連付ける]
https://www.bleepingcomputer.com/news/security/ukraine-links-data-wiping-attack-on-news-agency-to-russian-hackers/
⇒ https://malware-log.hatenablog.com/entry/2023/01/18/000000
【ブログ】
◇2022年2月
□2022年2月23日(水)
◆ロシア・ウクライナ危機にともなうサイバー攻撃の影響へ備えを (Unit42(Paloalto), 2022/02/23 19:20)
https://unit42.paloaltonetworks.jp/preparing-for-cyber-impact-russia-ukraine-crisis/
⇒ https://malware-log.hatenablog.com/entry/2022/02/25/000000_8
□2022年2月24日(木)
◆HermeticWiper: What We Know About New Malware Targeting Ukrainian Infrastructure (Thus Far) (CyberArk, 2022/02/24)
https://www.cyberark.com/resources/blog/hermeticwiper-what-we-know-about-new-malware-targeting-ukrainian-infrastructure-thus-far
⇒ https://malware-log.hatenablog.com/entry/2022/02/24/000000_13
【公開情報】
◇2022年2月
□2022年2月26日(土)
◆Alert (AA22-057A) Destructive Malware Targeting Organizations in Ukraine (CISA, 2022/02/26)
https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
⇒ https://malware-log.hatenablog.com/entry/2022/02/26/000000_4
□2022年2月28日(月)
◆Digital technology and the war in Ukraine (Microsoft, 2022/02/28)
[デジタル技術とウクライナの戦争]
https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/
⇒ https://malware-log.hatenablog.com/entry/2022/02/28/000000_17
【関連情報】
◆WhisperGate (まとめ)
ウクライナ侵攻で使用
◆IsaacWiper (まとめ)
ウクライナ侵攻で使用
◆CaddyWiper (まとめ)
ウクライナ侵攻で使用
関連情報
【関連まとめ記事】
◆破壊型マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Destructive_Malware