Škodlivý kód zneužívá ovladače aplikace EaseUS Partition Master, čímž je jednak hůře detekovatelný antivirovými systémy, jednak umí data na disku poškodit velmi efektivně. Kód je opatřen platným certifikátem kyperské společnosti Hermetica Digital Ltd.
Virus tak dostal přezdívku HermeticWiper a oficiální označení Win32/KillDisk.NCV.
Škodlivý kód detekovalo a analyzovalo výzkumné centrum slovenské společnosti Eset
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
Překlad tweetu: ESETResearch dnes objevil nový malware pro mazání dat použitý na Ukrajině. Telemetrie společnosti ESET ukazuje, že byl nainstalován na stovky počítačů v zemi. Následuje to po dnešních DDoS útocích na několik ukrajinských webových stránek.
V dalším tweetu společnost zjištění upřesnila: „První vzorek jsme pozorovali dnes kolem 14:52 UTC / 16:52 místního času. Časové razítko kompilace PE jednoho ze vzorků je 2021-12-28, což naznačuje, že útok mohl být připravován téměř dva měsíce.“
We observed the first sample today around 14h52 UTC / 16h52 local time. The PE compilation timestamp of one of the sample is 2021-12-28, suggesting that the attack might have been in preparation for almost two months. 2/n
Bezpečnostní expert Emanuele De Lucia pak poznamenal, že jde o odlišný a propracovanější škodlivý kód, než byl využit při lednových kybernetických útocích. Ukrajinské úřady zasáhl kybernetický útok. Jde o ruské hackery, domnívají se.
@danbrown370 @threatintel I had a very quick look inside. It seems to be quite different if compared to #Whispergate and more sophisticated.
Virus je podle bezpečnostní společnosti SentinelOne zaměřen na operační systém Microsoft Windows, maže data z disků a pamětí, maže i stínové kopie souborů a po restartu systému poškodí MBR (Master Boot Record) na začátku disků a tím počítač či server dostane zcela mimo provoz.
