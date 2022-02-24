Le 24 février 2022, Symantec Enterprise a signalé qu’un ransomware baptisé PartyTicket avait été déployé en même temps que le logiciel malveillant HermeticWiper. IBM Security X-Force a obtenu un échantillon de PartyTicket et fournit une analyse technique, des indicateurs de compromission et des détections dans la section PartyTicket de cet article de blog.

Le 23 février 2022, des sources d’informations open source ont commencé à signaler la détection d’un logiciel malveillant de type « wiper » – une famille de logiciels malveillants destructeurs conçus pour détruire définitivement les données de la cible – s’exécutant sur les systèmes appartenant à des entreprises ukrainiennes. IBM Security X-Force en a obtenu un échantillon. Nommé HermeticWiper, utilise un pilote de gestionnaire de partition inoffensif (une copie de empntdrv.sys) pour exécuter ses capacités d’effacement, corrompant ainsi le « Master Boot Record » (MBR), la partition et le système de fichiers (FAT ou NTFS) de tous les disques physiques disponibles.

Ce n’est pas le premier logiciel malveillant de type « wiper » ciblant des entreprises ukrainiennes que X-Force a analysé. En janvier 2022, X-Force a analysé WhisperGate et n’a identifié aucun chevauchement de code entre WhisperGate et HermeticWiper.

Cet article de blog détaille les conclusions d’IBM Security X-Force sur le logiciel malveillant HermeticWiper, l’analyse technique de l’échantillon et les indicateurs de compromission (IOC) afin d’aider les entreprises à se protéger contre cette menace.