Slevová nabídka pro více licencí
Databáze hrozeb Malware HermeticWiper

HermeticWiper

V roce CagedTech v roce Malware
Přeložit do:

Scorecard of Threat

Úroveň ohrožení: 80 % (Vysoký)
Infikované počítače: 11
Poprvé viděn: July 23, 2012
Naposledy viděn: November 14, 2025
Ovlivněné OS: Windows

HermeticWiper je extrémně destruktivní malwarová hrozba navržená tak, aby znefunkčnila napadené počítačekonkrétně. Hrozba byla využita proti mnoha organizacím na Ukrajině a pravděpodobně souvisí s ruskou invazí do země. Podle závěrů několika dodavatelů kybernetické bezpečnosti již byly kompromitovány stovky strojů patřících organizacím z různých průmyslových odvětví – finanční, letecké, obranné a IT služby. Celkový počet postižených počítačů je pravděpodobně mnohem vyšší.

Funkčnost a detaily útoku

HermeticWiper je schopen poškodit hlavní spouštěcí záznam (MBR) počítačů se systémem Windows, což je klíčová součást zodpovědná za správné načítání operačního systému. Jeho vymazáním malware blokuje celý systém a brání jeho zavádění. Podle bezpečnostní firmy SentinelOne technika využívaná hrozbou zahrnuje využití legitimních ovladačů bezplatné aplikace EaseUs Partition Master a vede k poškození pevných disků systému. Pokud jde o samotnou hrozbu, zdá se, že je podepsána digitálním certifikátem patřícím společnosti s názvem 'Hermetica Digital Ltd.' se sídlem na Kypru.

Zdá se, že útok HermeticeWiper byl naplánován s dostatečným předstihem, přičemž kyberzločinci kompromitovali některé z cílených systémů o měsíce dříve. Na některých systémech útočníci také nasadili hrozby ransomwaru vedle HermeticWiper, ale tento krok je s největší pravděpodobností pokusem o odvrácení pozornosti, jak zamaskovat jejich skutečné záměry.

Zpráva o analýze

Obecná informace

Family Name: Trojan.HermeticWiper
Signature status: Hash Mismatch

Known Samples

MD5: 382fc1a3c5225fceb672eea13f572a38
SHA1: d9a3596af0463797df4ff25b7999184946e3bfa2
SHA256: 2C10B2EC0B995B88C27D141D6F7B14D6B8177C52818687E4FF8E6ECF53ADF5BF
Velikost souboru: 117.00 KB, 117000 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Digital Signatures

Signer Root Status
Hermetica Digital Ltd DigiCert EV Code Signing CA (SHA2) Hash Mismatch

Block Information

Total Blocks: 55
Potentially Malicious Blocks: 45
Whitelisted Blocks: 10
Unknown Blocks: 0

Visual Map

1 1 1 0 x 0 x x x x x 0 x x x x x x x x x x 0 x x x x x x x x x x x x x x 0 x x 0 0 x x x x x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • HermeticWiper.A

Files Modified

File Attributes
c: Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\windows\system32\drivers\hzdr Generic Write,Read Attributes
c:\windows\system32\drivers\hzdr.sys Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value Data API Name
HKLM\system\controlset001\control\crashcontrol::crashdumpenabled RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
Service Control
  • OpenSCManager
  • OpenService

Související příspěvky

Trendy

Nejvíce shlédnuto

Načítání...