IsaacWiper en HermeticWizard: De malware combineert dus een wiper met ransomware en een worm

Gepubliceerd op 2 maart 2022 om 17:45

Het beveiligingsbedrijf ESET heeft meerdere types wiper-malware gevonden in Oekraïense systemen. Wiper-malware is een type malware dat schade aanricht aan een systeem, zichzelf vervolgens verwijdert en zijn sporen uitwist. Het idee is dat onderzoekers de malware dan niet kunnen vinden of kunnen herleiden tot een bron.

Grote malware aanval

In de dagen voor de Russische invasie werd Oekraïne ook getroffen door een grote malware aanval. Volgens Dave Maasland van Eset is deze tweede aanval begonnen in de dagen na de invasie. Het zou gaan om een goed voorbereide en gecoördineerde aanval. 'Wat helemaal interessant is aan deze tweede variant, is dat de aanvallers live aan het meekijken waren met de malware om hem te verbeteren.'

Deze tweede aanval is volgens Maasland veel doelbewuster dan de vorige aanval. 'Waar die eerste aanval nog best wel breed was, op IT-bedrijven, financiële instellingen, lijkt die tweede aanval echt gericht om Oekraïense overheidsinstellingen kapot te maken.'

Hoewel het niet te bewijzen is waar de aanval vandaan komt, gaat Maasland, gezien de aard van het doelwit, er vanuit dat de aanval uit Rusland komt. Tegelijkertijd benadrukt Maasland dat het niet vast te stellen is of het hier gaat om een aanval door de Russische veiligheidsdiensten of door hackersgroepen die sympathiseren met Rusland.

HermeticWiper

Eerder vond het bedrijf al HermeticWiper en nu heeft het ook IsaacWiper aangetroffen in Oekraïense systemen. ESET geeft aan niet te weten hoe de HermeticWiper precies binnenkomt in een systeem. Eenmaal binnen ziet het bedrijf wel dat de malware via Active Directory wordt uitgerold over netwerken.

De wiper maakt het systeem onbruikbaar door data over te schrijven. Tegelijkertijd wordt de ransomware HermeticRansom ingezet. De onderzoekers vermoeden dat dit wordt gedaan om de activiteiten van de wiper zoveel mogelijk te verhullen.

Naast de wiper en de ransomware-elementen wordt er ook een wormcomponent ingezet, deze noemen ze HermeticWizard. De worm zorgt ervoor dat de wiper zich kan verspreiden via het lokale netwerk en zo nog meer systemen kan aanvallen.

De malware combineert dus een wiper met ransomware en een worm. Het gaat dus om erg vernuftige aanvallen.

ESET geeft aan de wiper bij zeker vijf bedrijven te hebben aangetroffen.

Tweede variant

Naast de HermeticWiper heeft ESET nu dus nog een vergelijkbaar type malware gevonden, genaamd IsaacWiper. Deze malware zou zich vooral richten op overheidsinstellingen in Oekraïne.

De code van IsaacWiper lijkt minder geavanceerd dan die van HermeticWiper. Ook van IsaacWiper is niet bekend hoe het de systemen binnenkomt. Wel zou de malware al sinds oktober op sommige systemen staan. Pas op 24 februari heeft de malware ook daadwerkelijk toegeslagen.

ESET zegt dat de malware enkele uren voor de Russische invasie van Oekraïne toesloeg. Hoewel het dan makkelijk lijkt om deze twee zaken aan elkaar te verbinden, geeft ESET aan dat ze onvoldoende bewijs hebben om publieke uitspraken te doen over de herkomst van de malware.

Waarschuwingen voor Nederland

Het Nationaal Cyber Security Centrum heeft deze week gewaarschuwd dat de malware die in Oekraïne opduikt ook kan overslaan naar bijvoorbeeld Nederland. Maasland waarschuwt dat bedrijven in Nederland zich dan ook moeten voorbereiden op het risico dat het digitale conflict kan escaleren.

Het bekendste voorbeeld hiervan zijn de NotPetya-aanvallen die in 2017 wereldwijd computernetwerken uitschakelden, waaronder containerterminals van de Rotterdamse haven. De aanval kwam volgens Groot Brittannië en de Verenigde Staten van het Russische leger en begon in Oekraïne.

Doordat Nederland grote delen van de vitale infrastructuur in vergaande mate heeft gedigitaliseerd, loopt Nederland volgens Maasland een groot risico. Daar komt bij dat volgens verschillende rapporten van onder meer de Cyber Security Raad, de Wetenschappelijke Raad voor Regeringsbeleid en de NCTV de vitale infrastructuur niet voldoende is beschermd tegen cyberaanvallen. 'Laten we geen paniek zaaien, maar reken er maar op dat onze veiligheidsdiensten in opperste staat van paraatheid zijn.'

Isaac Wiper And Hermetic Wizard
PDF – 455,2 KB 72 downloads

Bron: bnr.nl, welivesecurity.com, vpngids.nl

Meer info over malware 

Bekijk alle vormen en begrippen

Meer rapporten bekijken of downloaden

 

Inschrijven voor wekelijkse nieuwsbrief

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer malware nieuws

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Politie stopt internationaal verspreiding FluBot malware

De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.

Lees meer »

De meest voorkomende abonnementen trojans

Abonnementen-trojans zijn een aloude methode om Android-gebruikers hun zuurverdiende centen afhandig te maken. Ze infiltreren een smartphone onder het mom van nuttige apps en abonneren zich stiekem op betaalde diensten. Vaker wel dan niet is het abonnement zelf echt, alleen heeft de gebruiker de dienst hoogstwaarschijnlijk helemaal niet nodig.

Lees meer »

Is de ‘NewProfilePic-app’ Russische malware?

De app 'New Profile Pic' staat zowel in de Apple App Store als in de Google Play Store op nummer één in de ranglijst van de populairste, meest gedownloade apps. Daarmee is de app momenteel dus populairder dan apps als Instagram, TikTok, Snapchat, YouTube en Messenger. Maar om deze app is momenteel het één en ander te doen: zo gaat het gerucht dat de app in werkelijkheid malware bevat van Russische makelij, dat gebruikers van de app slachtoffer worden van oplichting én dat de app data doorsluist naar het Kremlin. Hoe zit dat? In dit artikel leggen we het uit.

Lees meer »

‘Pegasus spyware’ we horen er steeds meer over, maar wat is het?

Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.

Lees meer »

Stijging van ruim 47 procent met nieuwe malware

Er komen steeds meer verschillende soorten malware samples op de markt blijkt uit een analyse van G DATA CyberDefense. In totaal werden er vorig jaar meer dan 23,7 miljoen verschillende soorten malware samples geïdentificeerd. Dit staat gelijk aan bijna 65.000 nieuwe varianten malware per dag, oftewel 45 nieuwe aanvalsvectoren per minuut. Vergeleken met 2020 is dit een stijging van ruim 47 procent.

Lees meer »

«   »