Il 24 febbraio 2022, Symantec Enterprise ha segnalato che un ransomware chiamato PartyTicket è stato distribuito insieme al malware HermeticWiper. IBM Security X-Force ha ottenuto un campione del ransomware PartyTicket e ha fornito analisi tecniche, indicatori di compromissione e rilevamenti nella sezione PartyTicket di questo blog.

Il 23 febbraio 2022, fonti di intelligence open source hanno iniziato a segnalare rilevamenti di un wiper malware, una famiglia distruttiva di malware progettata per distruggere permanentemente i dati del bersaglio, che si esegue su sistemi appartenenti a organizzazioni ucraine. IBM Security X-Force ha ottenuto un campione del wiper denominato HermeticWiper. Utilizza un driver di gestione delle partizioni benigno (una copia di empntdrv.sys) per eseguire le sue funzionalità corrompendo il Master Boot Record (MBR), la partizione e il file system (FAT o NTFS) di tutte le unità fisiche disponibili.

Questo non è il primo malware wiper che prende di mira le organizzazioni ucraine analizzato da X-Force. Nel gennaio 2022, X-Force ha analizzato il malware WhisperGate e non ha identificato alcuna sovrapposizione di codice tra WhisperGate e HermeticWiper.

Questo post sul blog fornirà gli insight di IBM Security X-Force sul malware HermeticWiper, l'analisi tecnica del campione e gli indicatori di compromissione (IoC) per aiutare le organizzazioni a proteggersi da questo malware.