# HermeticWiper > [!critical] Primeiro Wiper Russo da Invasão da Ucrânia — Fevereiro 2022 > HermeticWiper é o primeiro wiper implantado em larga escala contra organizações ucranianas horas antes da invasão russa em 24 de fevereiro de 2022. Usa um certificado digital legítimo (da empresa cipriota Hermetica Digital) para assinar o malware e contornar controles de segurança baseados em reputação. ## Visão Geral O HermeticWiper (também identificado como KillDisk.NCV pela ESET e FoxBlade pela Microsoft) foi o primeiro wiper implantado em larga escala contra organizações ucranianas, detectado pela ESET na madrugada de 23 para 24 de fevereiro de 2022 — horas antes do início da invasão russa terrestre. O aspecto técnico mais notável do HermeticWiper é o uso de um certificado digital **assinado legitimamente** pela empresa cipriota "Hermetica Digital Ltd" para assinar o binário malicioso. Este certificado foi provavelmente obtido de forma fraudulenta, mas permite que o malware contorne soluções de segurança baseadas em verificação de assinatura e reputação de arquivos. O HermeticWiper usa um driver legítimo de gerenciamento de disco (EaseUS Partition Master) embutido como recurso para acessar e corromper diretamente os setores de disco de baixo nível, incluindo MBR e registros de partição. A estratégia de usar uma ferramenta legítima para causar destruição é consistente com a filosofia "living-off-the-land" de atores avançados. O malware foi acompanhado por um worm de propagação denominado **HermeticWizard** que se espalha pela rede local, e pelo **HermeticRansom** — um ransomware falso usado como distração enquanto o HermeticWiper destruía dados em background. > [!latam] Relevância para o Brasil e LATAM > O HermeticWiper representa o estado da arte em armas cibernéticas destrutivas de estado. A técnica de certificate abuse para bypass de segurança é replicável por qualquer ator sofisticado. Para organizações brasileiras de infraestrutura crítica, a lição principal é a necessidade de **detecção comportamental** que não dependa exclusivamente de assinaturas e reputação de certificados — pois ambos podem ser subvertidos. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Impact | [[t1485-data-destruction\|T1485]] | Destruição de dados via driver de disco de baixo nível | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Corrupção de MBR e registros de partição | | Defense Evasion | [[t1553-subvert-trust-controls\|T1553]] | Binário assinado com certificado legítimo roubado | ## Detecção - Monitorar uso de drivers de gerenciamento de disco (EaseUS, Partition Magic) fora do esperado - Alertar para acesso direto ao setor 0 (MBR) por processos não autorizados - Detectar carregamento de drivers não usuais via kernel module loading - Correlacionar com indicadores do HermeticWizard (worm de propagação) ## Referências - [ESET Research - HermeticWiper Discovery (2022)](https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/) - [Sentinel One - HermeticWiper Technical Analysis (2022)](https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/) - [Microsoft - FoxBlade/HermeticWiper Analysis (2022)](https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-ukraine/)