isaacwiper - RunkIntel

# IsaacWiper > [!critical] Wiper Destrutivo - Conflito Ucrânia-Rússia 2022 > O IsaacWiper é um malware destrutivo do tipo wiper implantado em redes governamentais ucranianas em 24 de fevereiro de 2022, coincidindo com o início da invasão russa, como parte de uma campanha coordenada de ataques cibernéticos de pré-guerra e guerra. ## Descrição O [[isaacwiper|IsaacWiper]] é um malware do tipo **wiper** - software malicioso projetado para destruir dados e tornar sistemas irrecuperáveis - descoberto e reportado públicamente pela ESET em 1º de março de 2022. O malware foi detectado em atividade em 24 de fevereiro de 2022, o mesmo dia do início da invasão militar russa à Ucrânia, em uma rede governamental ucraniana distinta das organizações já afetadas pelo [[hermeticwiper|HermeticWiper]] no dia anterior. O IsaacWiper implementa o algoritmo **Mersenne Twister PRNG** (gerador de números pseudoaleatórios) em suas operações de destruição de dados. Uma característica notável é que, em 25 de fevereiro de 2022 - apenas um dia após o primeiro deployment - uma nova versão com **logs de debug** foi implantada. Os pesquisadores avaliaram que isso pode indicar que os operadores enfrentaram dificuldades ao apagar determinadas máquinas e adicionaram logging para diagnosticar o problema, revelando uma operação com suporte técnico ativo em tempo real. Embora não haja atribuição definitiva pública a um ator de ameaça nomeado, o contexto geopolítico e o timing da campanha apontam fortemente para origem russa. O malware foi parte de uma **campanha coordenada de múltiplos wipers** implantados durante o conflito: [[hermeticwiper|HermeticWiper]] (23/02), IsaacWiper (24/02), [[caddywiper|CaddyWiper]] (14/03), e posteriormente [[pathwiper|PathWiper]] e [[industroyer2|Industroyer2]] em abril de 2022. Ferramentas de movimento lateral como **RemCom** e **Impacket** foram utilizadas em conjunto para propagação interna antes da detonação do wiper. Para a análise histórica e acadêmica de TTPs de ciberguerra, o IsaacWiper representa um caso de estudo importante: demonstra como atores estatais coordenam ataques cibernéticos destrutivos com operações militares cinéticas, usando múltiplos malwares simultâneos contra diferentes organizações para maximizar o impacto disruptivo. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Impact | [[t1485-data-destruction\|T1485]] | Destruição destrutiva de dados no sistema de arquivos | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Bloqueio de recuperação do sistema | | Defense Evasion | [[t1070-indicator-removal\|T1070]] | Remoção de indicadores, medidas anti-forenses | | Execution | [[t1569-system-services\|T1569]] | Execução via serviços do sistema | | Lateral Movement | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Movimento lateral via SMB (Impacket) | | Command and Control | [[t1105-ingress-tool-transfer\|T1105]] | Implantação de ferramentas adicionais (RemCom) | ## Grupos que Usam Nenhum grupo de ameaça foi formalmente atribuído como operador do IsaacWiper. A Microsoft rastreou o [[hermeticwiper|HermeticWiper]] com confiança média ao grupo **IRIDIUM (DEV-0665)**, mas o IsaacWiper específicamente não recebeu atribuição formal devido à ausência de similaridade de código com outras amostras conhecidas. A campanha tem características consistentes com operações de inteligência militar russa. **Contexto:** [[ukraine-wiper-attacks-2022|Ataques Wiper Ucrânia 2022]] - campanha coordenada com [[hermeticwiper|HermeticWiper]], [[caddywiper|CaddyWiper]], [[industroyer2|Industroyer2]] ## Detecção - Monitorar processos com acesso incomum ao sistema de arquivos em padrão de sobrescrita massiva, especialmente com uso de PRNG para geração de dados aleatórios - Implementar detecção de uso de RemCom (remote execution tool) e Impacket em ambientes que não os utilizam legitimamente para administração - Detectar deleção ou modificação de Volume Shadow Copies via `vssadmin delete shadows` ou APIs equivalentes do Windows - Monitorar criação ou modificação de serviços do sistema em horários fora do padrão operacional, especialmente em contexto de alertas de segurança geopolítica elevada ```sigma title: IsaacWiper - Mass File Overwrite Activity status: stable logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'vssadmin delete shadows' - 'wbadmin delete catalog' - 'bcdedit /set recoveryenabled no' condition: selection level: critical tags: - attack.impact - attack.t1490 ``` ## Relevância LATAM/Brasil O IsaacWiper em si não apresenta relevância direta para o Brasil ou América Latina, pois foi uma arma cibernética utilizada específicamente no conflito entre Rússia e Ucrânia. No entanto, sua análise é de grande valor educacional e estratégico para profissionais de segurança na região: o padrão de uso de wipers coordenados com operações militares cinéticas estabelece um precedente importante para planejamento de defesa cibernética nacional. Organizações de infraestrutura crítica no Brasil - incluindo setores de [[energy|energia]], [[government|governo]] e [[telecommunications|telecomúnicações]] - devem considerar o cenário de ataques de wiper coordenados em seus exercícios de cyber resilience e planos de continuidade. A campanha ucraniana demonstrou que backups offline e segmentados são a única proteção efetiva contra wipers avançados. **Setores alvejados (original):** [[government|governo]] - [[critical-infrastructure|infraestrutura crítica]] ## Referências - [1](https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/) ESET WeLiveSecurity - IsaacWiper and HermeticWizard Analysis (2022) - [2](https://www.recordedfuture.com/blog/isaacwiper-continues-trend-wiper-attacks-against-ukraine) Recorded Future - IsaacWiper Continues Trend of Wiper Attacks (2022) - [3](https://www.eset.com/us/about/newsroom/research/eset-research-ukraine-hit-by-destructive-attacks-before-and-during-the-russian-invasion-with-hermet/) ESET Research - Ukraine Hit by Destructive Attacks Before and During Russian Invasion (2022) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper) Malpedia - IsaacWiper Technical Profile