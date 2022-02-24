El 24 de febrero de 2022, Symantec Enterprise informó que un ransomware denominado PartyTicket se había desplegado junto con el malware HermeticWiper. IBM Security X-Force obtuvo una muestra del ransomware PartyTicket y proporcionó análisis técnicos, indicadores de compromiso y detecciones dentro de la sección PartyTicket de este blog.

El 23 de febrero de 2022, las fuentes de inteligencia de código abierto comenzaron a informar detecciones de un malware wiper, una familia de malware destructiva diseñada para destruir permanentemente los datos del objetivo, que se ejecuta en sistemas pertenecientes a organizaciones ucranianas. IBM Security X-Force obtuvo una muestra del wiper llamado HermeticWiper. Utiliza un controlador de administrador de particiones benigno (una copia de empntdrv.sys) para realizar sus capacidades de limpieza corrompiendo el registro maestro de arranque (MBR), la partición y el sistema de archivos (FAT o NTFS) de todas las unidades físicas disponibles.

Este no es el primer malware de tipo wiper dirigido a organizaciones ucranianas que X-Force ha analizado. En enero de 2022, X-Force analizó el malware WhisperGate y no identificó ninguna coincidencia de código entre WhisperGate y HermeticWiper.

Esta entrada en el blog detallará los insights de IBM Security X-Force sobre el malware HermeticWiper, el análisis técnico de la muestra y los indicadores de compromiso (IoC) para ayudar a las organizaciones a protegerse de este malware.