Menu

Aktuality

NÚKIB upozorňuje na nový malware na Ukrajině, který způsobuje mazání dat. Českým státním a soukromým institucím doporučuje kontrolu a zabezpečení.

25. únor 2022
IT Kybernetická bezpečnost Ukrajina

Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na výskyt nového destruktivního malware typu wiper. Podle dostupných informací wiper mířil na ukrajinské finanční instituce a vládní kontraktory. Zasaženo bylo i několik institucí v Litvě a Lotyšsku. Nelze vyloučit, že se cílem útoků mohou stát i české instituce. NÚKIB k této hrozbě vydal upozornění a konkrétní doporučení. 

Dne 23. února identifikovala společnost Eset na Ukrajině výskyt nového destruktivního malware typu wiper, který způsobuje mazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Malware nazvaný HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí, podle dostupných informací wiper mířil na finanční instituce a vládní kontraktory. Finální výčet zasažených cílů aktuálně není znám, kromě Ukrajiny bylo zasaženo i několik institucí v Litvě a Lotyšsku, přičemž není jasné, zda úmyslně či nikoliv.

Binární soubory mají validní digitální podpis společnosti Hermetica Digital Ltd. a datum kompilace 28. 12. 2021, což poukazuje na dlouhodobě vedenou a plánovanou akci.

Tento rok se, spolu s útokem wiperu WhisperGate v polovině ledna, jedná již o druhý kybernetický útok na Ukrajině cílící na destrukci dat. Nelze vyloučit, že s ohledem na situaci se cílem útoků mohou stát i české instituce. NÚKIB k této hrozbě vydal 28. 1. upozornění, které nadále zůstává v platnosti.

V tuto chvíli nejsou známy techniky prvotního průniku do sítě vedoucí k nasazení wiperu, s dalšími zjištěními budeme informace aktualizovat.

 

Státním i soukromým institucím v tuto chvíli NÚKIB doporučuje:

  • Zkontrolovat uvedené indikátory kompromitace v rámci svých systémů.
  • Mít připravené zálohy důležitých aktiv na fyzicky odděleném offline médiu a ověřit jejich funkčnost.
  • Zkontrolovat stav antivirového řešení, konkrétně zdali je korektně spuštěno na všech zařízeních a aktualizováno.
  • Provést audit privilegovaných účtů, doménových politik a plánovaných úloh.
  •  Ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit.

V případě pozitivního nálezu nebo jiné aktivity s potenciální souvislostí informujte o této skutečnosti Vládní CERT na adrese cert.incident@nukib.cz.

 

Indikátory kompromitace:

 

Hashe

Win32 EXE (Microsoft: DoS: Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)

- MD5: 3f4a16b29f2f0532b7ce3e7656799125

- SHA-1:61b25d11392172e587d8da3045812a66c3385451

- SHA-256:1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591

Win32 EXE (Microsoft: DoS: Win32/FoxBlade.A!dha, ESET: Win32/KillDisk.NCV)

- MD5: 84ba0197920fd3e2b7dfa719fee09d2f

- SHA-1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77

- SHA-256: 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da

 

Yara

rule MAL_HERMETIC_WIPER {

meta:

desc = "HermeticWiper - broad hunting rule"

author = "Friends @ SentinelLabs"

version = "1.0"

last_modified = "02.23.2022"

hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"

strings:

$string1 = "DRV_XP_X64" wide ascii nocase

$string2 = "EPMNTDRV\\%u" wide ascii nocase

$string3 = "PhysicalDrive%u" wide ascii nocase

$cert1 = "Hermetica Digital Ltd" wide ascii nocase

condition:

uint16(0) == 0x5A4D and

all of them

}

 

Zdroj: NÚKIB

Sdílet článek:

Vytisknout článek

Související články

15. červenec 2025
IT

Malé firmy se lépe adaptují na nové technologie, ale často jim chybějí kvalitní data

„Firmám často chybí byznys plán, plánování financí a průběžné vyhodnocování těchto plánů. Finančním tokům spousta podnikatelů i manažerů nerozumí a nechápou proč nemají peníze, když jsou v zisku,“ upo...

Přečíst celý článek
19. květen 2025
IT

Jihočeská hospodářská komora nabízí kurzy IT pro své členy zdarma

Jhk IT Akademie je nový projekt Jihočeské hospodářské komory, který má za cíl poskytnout svým členům širokou škálu kurzů zaměřených na zlepšení počítačových dovedností. Tento projekt je financován z E...

Přečíst celý článek
04. duben 2025
IT

12. ROČNÍK KONFERENCE MANAGEMENT, ZNALOSTI A PRAXE na téma Lidé a umělá inteligence ve firemní praxi

AI už není jen budoucnost – je to realita, která mění firemní prostředí, rozhodování i pracovní návyky. Jak se s tímto trendem vyrovnat a jak jej využít ve svůj prospěch? Přijďte si pro odpovědi na 12...

Přečíst celý článek
04. říjen 2024
IT

Pavel Ohnoutka: Bez digitální transformace to nepůjde

Skutečnost, že ve firmě požíváte Excel, Outlook nebo PDF Reader rozhodně neznamená, že je vaše firma dostatečně digitalizována a připravena na další rozvoj.

Přečíst celý článek