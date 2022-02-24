Em 24 de fevereiro de 2022, o Symantec Enterprise relatou que um ransomware conhecido como PartyTicket foi implementado junto com o malware HermeticWiper. A IBM Security X-Force obteve uma amostra do ransomware PartyTicket e forneceu uma análise técnica, indicadores de comprometimento e detecções na seção PartyTicket deste blog.

Em 23 de fevereiro de 2022, fontes de inteligência de código aberto começaram a relatar detecções de um malware wiper — uma família destrutiva de malware projetada para destruir permanentemente os dados do alvo — executando em sistemas pertencentes a organizações ucranianas. A IBM Security X-Force obteve uma amostra do wiper chamado HermeticWiper. Ele usa um gerenciador de partição benigno (uma cópia de empntdrv.sys) para executar seus recursos de limpeza corrompendo o registro mestre de inicialização (MBR), a partição e o sistema de arquivos (FAT ou NTFS) de todas as unidades físicas disponíveis.

Este não é o primeiro malware wiper voltado para organizações ucranianas que o X-Force analisou. Em janeiro de 2022, a X-Force analisou o malwareWhisperGate e não identificou nenhuma sobreposição de código entre o WhisperGate e o HermeticWiper.

Esta postagem do blog detalha os insights do IBM Security X-Force sobre o malware HermeticWiper, a análise técnica da amostra e os indicadores de comprometimento (IoC) para ajudar as organizações a se protegerem contra esse malware.