ESET社は、新たなワイパー型マルウェアを利用したサイバー攻撃によって、ウクライナの複数の組織における、ネットワーク上の数百台のコンピューターが影響を受けたことを発見しました。
本記事はESET Japanが提供する「ESETブログ」に掲載された「新たなワイパー型マルウェア「HermeticWiper」がウクライナを攻撃」を再編集したものです。
ウクライナの複数の組織は、新たなワイパー型マルウェア(データ消去マルウェア)を利用したサイバー攻撃によって、ネットワーク上の数百台のコンピューターが影響を受けたことをESETの研究チームが発見しました。ESETはこのワイパー型マルウェアをHermeticWiperと名付けました。この攻撃は、一連のDDos攻撃により同国内の複数のウェブサイトがダウンしたわずか数時間後に発生しました。
ESET製品でWin32/KillDisk.NCVで検出される今回のワイパー型マルウェアは、現地時間の水曜日午後5時(UTC午後3時)前に初めて確認されました。一方、ワイパーのタイムスタンプは2021年12月28日にコンパイルされたことを示しており、この攻撃は以前から行われていた可能性があることを示しています。
HermeticWiperは一般的なディスク管理ソフトウェアの正規のドライバを悪用したものです。ESETの研究チームによると「ワイパーはデータを破損するためにEaseUS Partition Masterソフトウェアの正規のドライバを悪用してます。」。
さらに、攻撃者はキプロスに拠点をおくHermetica Digital Ltd.,によって発行された正規のコード署名証明書を利用しています。これにより、今回のワイパー型マルウェアをHermeticWiperと名付けました。
また、少なくとも1つのケースでは、攻撃者はマルウェアを利用する前に被害者のネットワークにアクセスしています。
水曜日未明に、数週間前からウクライナを標的にしているDDos攻撃により複数のウクライナのウェブサイトがダウンしました。
1月中旬には、別のデータワイパーが拡散されました。WhisperGateと呼ばれるこのワイパーはランサムウェアを装い、2017年6月にウクライナで発生したNotPetya攻撃の影響を世界中に波及させました。
ESETは本案件に関するさらなる展開を確認した場合、続報を公開します。