Home » IsaacWiper en HermeticWizard: De malware combineert dus een wiper met ransomware en een worm

IsaacWiper en HermeticWizard: De malware combineert dus een wiper met ransomware en een worm

Gepubliceerd op 2 maart 2022 om 17:45

Het beveiligingsbedrijf ESET heeft meerdere types wiper-malware gevonden in Oekraïense systemen. Wiper-malware is een type malware dat schade aanricht aan een systeem, zichzelf vervolgens verwijdert en zijn sporen uitwist. Het idee is dat onderzoekers de malware dan niet kunnen vinden of kunnen herleiden tot een bron.

Grote malware aanval

In de dagen voor de Russische invasie werd Oekraïne ook getroffen door een grote malware aanval. Volgens Dave Maasland van Eset is deze tweede aanval begonnen in de dagen na de invasie. Het zou gaan om een goed voorbereide en gecoördineerde aanval. 'Wat helemaal interessant is aan deze tweede variant, is dat de aanvallers live aan het meekijken waren met de malware om hem te verbeteren.'

Deze tweede aanval is volgens Maasland veel doelbewuster dan de vorige aanval. 'Waar die eerste aanval nog best wel breed was, op IT-bedrijven, financiële instellingen, lijkt die tweede aanval echt gericht om Oekraïense overheidsinstellingen kapot te maken.'

Hoewel het niet te bewijzen is waar de aanval vandaan komt, gaat Maasland, gezien de aard van het doelwit, er vanuit dat de aanval uit Rusland komt. Tegelijkertijd benadrukt Maasland dat het niet vast te stellen is of het hier gaat om een aanval door de Russische veiligheidsdiensten of door hackersgroepen die sympathiseren met Rusland.

HermeticWiper

Eerder vond het bedrijf al HermeticWiper en nu heeft het ook IsaacWiper aangetroffen in Oekraïense systemen. ESET geeft aan niet te weten hoe de HermeticWiper precies binnenkomt in een systeem. Eenmaal binnen ziet het bedrijf wel dat de malware via Active Directory wordt uitgerold over netwerken.

De wiper maakt het systeem onbruikbaar door data over te schrijven. Tegelijkertijd wordt de ransomware HermeticRansom ingezet. De onderzoekers vermoeden dat dit wordt gedaan om de activiteiten van de wiper zoveel mogelijk te verhullen.

Naast de wiper en de ransomware-elementen wordt er ook een wormcomponent ingezet, deze noemen ze HermeticWizard. De worm zorgt ervoor dat de wiper zich kan verspreiden via het lokale netwerk en zo nog meer systemen kan aanvallen.

De malware combineert dus een wiper met ransomware en een worm. Het gaat dus om erg vernuftige aanvallen.

ESET geeft aan de wiper bij zeker vijf bedrijven te hebben aangetroffen.

Tweede variant

Naast de HermeticWiper heeft ESET nu dus nog een vergelijkbaar type malware gevonden, genaamd IsaacWiper. Deze malware zou zich vooral richten op overheidsinstellingen in Oekraïne.

De code van IsaacWiper lijkt minder geavanceerd dan die van HermeticWiper. Ook van IsaacWiper is niet bekend hoe het de systemen binnenkomt. Wel zou de malware al sinds oktober op sommige systemen staan. Pas op 24 februari heeft de malware ook daadwerkelijk toegeslagen.

ESET zegt dat de malware enkele uren voor de Russische invasie van Oekraïne toesloeg. Hoewel het dan makkelijk lijkt om deze twee zaken aan elkaar te verbinden, geeft ESET aan dat ze onvoldoende bewijs hebben om publieke uitspraken te doen over de herkomst van de malware.

Waarschuwingen voor Nederland

Het Nationaal Cyber Security Centrum heeft deze week gewaarschuwd dat de malware die in Oekraïne opduikt ook kan overslaan naar bijvoorbeeld Nederland. Maasland waarschuwt dat bedrijven in Nederland zich dan ook moeten voorbereiden op het risico dat het digitale conflict kan escaleren.

Het bekendste voorbeeld hiervan zijn de NotPetya-aanvallen die in 2017 wereldwijd computernetwerken uitschakelden, waaronder containerterminals van de Rotterdamse haven. De aanval kwam volgens Groot Brittannië en de Verenigde Staten van het Russische leger en begon in Oekraïne.

Doordat Nederland grote delen van de vitale infrastructuur in vergaande mate heeft gedigitaliseerd, loopt Nederland volgens Maasland een groot risico. Daar komt bij dat volgens verschillende rapporten van onder meer de Cyber Security Raad, de Wetenschappelijke Raad voor Regeringsbeleid en de NCTV de vitale infrastructuur niet voldoende is beschermd tegen cyberaanvallen. 'Laten we geen paniek zaaien, maar reken er maar op dat onze veiligheidsdiensten in opperste staat van paraatheid zijn.'

Isaac Wiper And Hermetic Wizard
PDF – 455,2 KB 47 downloads

Bron: bnr.nl, welivesecurity.com, vpngids.nl

Meer info over malware 

Bekijk alle vormen en begrippen

Meer rapporten bekijken of downloaden

 

Inschrijven voor wekelijkse nieuwsbrief

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer malware nieuws


«   »