ウクライナでロシアによる軍事侵攻が進む中、サイバー空間でも攻撃が拡大している。複数のセキュリティベンダーがWindowsマシンのマスターブートレコード(MBR)を破壊して起動不能にする新型マルウェアによる標的型攻撃の発生を報告した。
このマルウェアは「HermeticWiper」と呼ばれ、最初にESETとBroadcom傘下のSymantecの研究者が報告した。これ分析したSentinelOneによれば、HermeticWiperには、「Hermetica Digital」という会社名による有効なデジタルコード署名があり、サンプルプログラムのデータサイズは114KBで、機能がごく限られた簡素で無害なアプリケーションに見えるという。
「HermeticWiper」に付与されたというデジタルコード署名(出典:ESET)
しかしHermeticWiperは、標的とするWindowsのコンピューター上で正規ツールの「EaseUS」のパーティション管理ドライバーを悪用し、MBRや設定を上書きしてコンピューターを起動不能にする。また、この過程でドライバーの改ざんによりCrashDumpsを無効化させるといい、マルウェアによる影響の解析を妨害する狙いがうかがえるという。
CyberArkによれば、さらにHermeticWiperは、Active Directoryのグループポリシーを使って侵入先を広げるという。ただし、無差別に拡散する動きは見られず、ドメインコントローラーを稼働させたままにするという。このため、攻撃者がHermeticWiperを実行する標的を絞り込み、標的内部でのみランサムウェアなどの拡散を図ることで、深刻なダメージを与える狙いがあるとCyberArkは予想する。
2022年に入りウクライナ情勢が悪化する過程で、1月中旬には重要組織のIT環境を破壊するマルウェアの存在が報告され、2月23日には政府系ウェブサイトに対する分散型サービス妨害(DDoS)攻撃でアクセスができない事態が発生した。
現実世界で急速な軍事侵攻が進むのと同様に、サイバー空間でも攻撃が広がっている。さらなる破壊型マルウェアの出現でSentinelOneの研究者は、予期された残念な展開に向かっていると指摘する一方で、サイバーセキュリティで専門家の雄志がオープンに協力して事態に対処していることが唯一の救いだと述べている。
