Der Krieg in der Ukraine beschäftigt uns nunmehr seit fast einer Woche, und immer noch stellen sich die immer gleichen Fragen: Warum hat Russland den Nachbarstaat überfallen? Was kann ich als Einzelne:r tun? Was bedeutet das insgesamt für Europa?
Neben den militärischen Aggressionen seitens Russland findet auch zunehmend ein Cyberkrieg statt, der das Land der Ukraine und seine Unternehmen treffen soll. So haben die Experten von Symantec und ESET Research am 23. Februar eine sogenannte Wiper-Malware entdeckt, die vor allem Windows-Rechner angreift und diesen schweren Schaden zufügen soll. Die Rede ist von HermeticWiper, einem auf den ersten Blick recht schlichten Trojaner, der es auf bestimmte Systemdateien des Betriebssystems abgesehen hat.
This is a developing story and we will be making updates as we discover new data points.
IoC:
912342F1C840A42F6B74132F8A7C4FFE7D40FB77
61B25D11392172E587D8DA3045812A66C3385451
Win32/KillDisk.NCV trojan 6/n— ESET Research (@ESETresearch) February 23, 2022
HermeticWiper greift sowohl FAT- als auch NTFS-basierte Rechner an
Hierfür unterscheidet die Schadsoftware zwischen dem veralteten Windows-Dateisystem FAT (File Allocation Table) und der neueren Ausgabe namens NTFS (New Technology File System). Im Falle eines älteren PC-Systems mit FAT-Partition(en) korrumpiert HermeticWiper die Startpartition der Festplatte, von der Windows gestartet wird. Im Falle eine NTFS-formatierten Rechners wird die Master File Tabelle beschädigt. In beiden Fällen führt der Angriff zu einem unbrauchbaren System, das sich nicht mehr booten lässt.
[irp posts=“34075″ name=“Rundumschlag gegen Hacker: So schützt SentinelOne Singularity Rechner, Cloud-Container und IoT-Netze“]
Die gute Nachricht für SentinelOne-Kunden: HermeticWiper richtet auf ihren Systemen keinerlei Schaden an, weder im Detect Only- noch im Protect-Modus. Wie das genau funktioniert und aussieht, zeigt das folgende Video.
Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne verfasst. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand. Die Informationen zu diesem Beitrag stammen von den SentinelLabs.