Ukrajinské firmy napadl agresivní virus. Smaže data a zničí celé disky

První zmínky o agresivním škodlivém programu, který se šíří mezi počítači na Ukrajině, se začaly objevovat už 23. února, tedy v předvečer ruské invaze na Ukrajinu. Virus se vyznačuje tím, že smaže veškerá data na disku napadeného počítače. Slovenská bezpečnostní firma ESET pojmenovala hrozbu HermeticWiper, kde „wiper“ je označení programu určeného pro úplně smazání dat a Hermetic odkazuje na firmu Hermetica Digital Ltd., jejímž certifikátem je škodlivý program podepsaný.

„První vzorky jsme zachytili ve středu 23. února v 16:52 místního času. Z analýzy malwaru vyplynulo, že vzniknul již 28. prosince 2021, z čehož lze vyvodit, že útok byl připravován poslední dva měsíce,“ říká Michal Cebák, bezpečnostní analytik společnosti ESET. (Toto datum ale nemusí být pravé, čas kompilace zapsaný do souboru není těžké podvrhnout. Útočník takovým podvržením ale nic nezíská, a tak se tím obvykle nezdržuje – pozn. red.)

Útočný program se začal šířit v době, kdy na ukrajinské úřady a banky směřovala série masivních DDoS útoků. Ty fungují na principu zahlcení internetových serverů velkým množstvím požadavků, což vede k jejich dočasné nedostupnosti. Lze spekulovat, že DDoS útoky byly zastíracím manévrem právě pro odvedení pozornosti od ničivějšího útoku pomocí HermeticWiper.

Souběžne s DDoS útoky na pravé webové stránky ukrajinských úřadů se objevily i falešné kopie těchto oficiálních zdrojů. Výzkumnici Bellingcat tento útok dávají do souvislosti s jinými útoky známých ruských hackerských skupin.

Zatím není přesně jasné, jak se agresivní program HermeticWiper do počítačů dostal. Minimálně v některých případech byly k jeho šíření použity nástroje pro správu počítačů (GPO – Group Policy Object), což naznačuje, že útočníkům se podařilo dostat se na server spravující firemní síť.

„Víme o několika komerčních a vládních organizacích na Ukrajině, které byly dnes zasaženy ničivým škodlivým softwarem,“ řekl CNN Charles Carmakal z bezpečnostní firmy Mandiant.

Podle výzkumníků poškozuje HermeticWiper pevný disk nejen smazáním dat, ale i poškozením úvodního sektoru disku (tzv. MBR, Master Boot Record). Samotný virus má podle prvotní analýzy 114 kB, většinu z toho ale tvoří (jinak legitimní) ovladače EaseUS Partition Manager, které má zabalené pro použití na napadeném počítači. Právě pomocí tohoto ovladače virus ničí pevné disky.

Poté, co přepíše důležité části disku náhodnými daty, vynutí virus restart počítače. Ten již následně nenaběhne, protože na disku nenajde operační systém.

Zatím jen asi třetina komerčně dostupných antivirů umí HermeticWiper správně rozpoznat. Česká firma Avast upozorňuje, že kromě HermeticWiper se nyní po Ukrajině šíří i nový vyděračský virus, který zatím nemá jméno.