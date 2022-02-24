Am 24. Februar 2022 meldete Symantec Enterprise, dass eine Ransomware namens PartyTicket zusammen mit der Malware HermeticWiper eingesetzt wurde. IBM Security X-Force hat eine Probe der PartyTicket-Ransomware erhalten und technische Analysen, Kompromittierungsindikatoren und Erkennungsmerkmale im Abschnitt „PartyTicket“ dieses Blogs bereitgestellt.

Am 23. Februar 2022 begannen Open-Source-Informationsquellen, über die Entdeckung einer Wiper-Malware zu berichten – einer zerstörerischen Malware-Familie, die darauf ausgelegt ist, Daten vom Zielsystem dauerhaft zu löschen – die auf Systemen ukrainischer Unternehmen ausgeführt wurde. IBM Security X-Force hat eine Probe des Wiper namens HermeticWiper erhalten. Es verwendet einen harmlosen Partitionsmanager-Treiber (eine Kopie von empntdrv.sys), um seine Löschfunktionen auszuführen und den Master Boot Record (MBR), die Partition und das Dateisystem (FAT oder NTFS) aller verfügbaren physischen Laufwerke zu beschädigen.

Dies ist nicht die erste Wiper-Malware, die auf ukrainische Unternehmen abzielt und von X-Force analysiert wurde. Im Januar 2022 analysierte X-Force die WhisperGate-Malware und stellte keine Codeüberschneidungen zwischen WhisperGate und HermeticWiper fest.

Dieser Blogbeitrag enthält detaillierte Informationen von IBM Security X-Force zur HermeticWiper-Malware, eine technische Analyse der Probe sowie Indikatoren für Kompromittierung (IoC), um Unternehmen dabei zu unterstützen, sich vor dieser Malware zu schützen.