El 24 de febrero de 2022, Symantec Enterprise informó de que se implementó un ransomware denominado PartyTicket junto con el malware HermeticWiper. IBM Security X-Force obtuvo una muestra del ransomware PartyTicket y ha proporcionado análisis técnicos, indicadores de compromiso y detecciones en la sección PartyTicket de este blog.

El 23 de febrero de 2022, fuentes de inteligencia de código abierto empezaron a informar sobre la detección de un malware de limpieza (una familia de malware destructivo diseñado para destruir permanentemente los datos del objetivo) que se ejecutaba en sistemas pertenecientes a organizaciones ucranianas. IBM Security X-Force obtuvo una muestra del limpiador llamado HermeticWiper. Utiliza un controlador de gestión de particiones benigno (una copia de empntdrv.sys) para realizar sus capacidades de borrado corrompiendo el Master Boot Record (MBR), la partición y el sistema de archivos (FAT o NTFS) de todas las unidades físicas disponibles.

Este no es el primer malware de borrado dirigido a organizaciones ucranianas que analiza X-Force. En enero de 2022, X-Force analizó el malware WhisperGate y no identificó ninguna coincidencia de código entre WhisperGate y HermeticWiper.

Esta entrada de blog detallará los conocimientos de IBM Security X-Force sobre el malware HermeticWiper, el análisis técnico de la muestra y los indicadores de compromiso (IoC) para ayudar a las organizaciones a protegerse de este malware.