# HermeticWizard
> [!info] Identidade do Malware
> **Tipo:** worm de propagação lateral · **MITRE:** [S0698](https://attack.mitre.org/software/S0698) · **Grupo:** [[g0034-sandworm|Sandworm]] (UAC-0082)
> **Plataformas:** Windows · **Ativo:** fevereiro 2022 · **Campanha:** ataque cibernetico contra Ucrania pre-invasao
> **Relacao:** propagador do [[s0697-hermeticwiper|HermeticWiper]] - componente de um ataque de destruicao em massa
## Visão Geral
[[s0698-hermeticwizard|HermeticWizard]] e um worm de propagação lateral utilizado pelo [[g0034-sandworm|Sandworm]] (atribuido ao GRU russo) nos ataques ciberneticos contra a Ucrania em fevereiro de 2022, dias antes da invasao militar. Seu objetivo e exclusivamente espalhar o [[s0697-hermeticwiper|HermeticWiper]] - uma arma de destruicao de dados - pela rede interna da vitima via WMI ([[t1047-windows-management-instrumentation|T1047]]) e SMB ([[t1021-002-smbwindows-admin-shares|T1021.002]]).
O HermeticWizard foi compilado em 2021 e utilizado em conjunto com [[s0697-hermeticwiper|HermeticWiper]] e [[hermeticransom|HermeticRansom]] como parte de uma campanha coordenada de disrupcao digital contra organizacoes ucranianas criticas (governo, financeiro, defesa) no contexto do inicio da invasao russa. O uso de certificado de code signing roubado ([[t1553-002-code-signing|T1553.002]]) - da empresa Hermetica Digital Ltd - permitiu que os arquivos passassem por verificacoes de assinatura digital sem alertas.
## Como Funciona
O HermeticWizard e iniciado manualmente ou via outro componente do ataque. Uma vez executado:
1. **Varredura de rede** - descobre sistemas na rede local via Network Service Discovery ([[t1046-network-service-discovery|T1046]]) e Remote System Discovery ([[t1018-remote-system-discovery|T1018]])
2. **Propagação via WMI** - conecta a hosts remotos via WMI ([[t1047-windows-management-instrumentation|T1047]]) usando credenciais válidas ou force bruta ([[t1110-001-password-guessing|T1110.001]])
3. **Propagação via SMB** - utiliza SMB Admin Shares ([[t1021-002-smbwindows-admin-shares|T1021.002]]) para copiar o wiper para sistemas remotos e executar como servico ([[t1569-002-service-execution|T1569.002]])
4. **Transfer lateral** - copia o payload do [[s0697-hermeticwiper|HermeticWiper]] para todos os sistemas alcancaveis ([[t1570-lateral-tool-transfer|T1570]])
5. **Execução via regsvr32** - usa regsvr32 ([[t1218-010-regsvr32|T1218.010]]) como lolbin para execução de payload sem Windows Defender alert
6. **Limpeza de logs** - remove Windows Event Logs ([[t1070-001-clear-windows-event-logs|T1070.001]]) para dificultar forense
## Attack Flow
```mermaid
graph TB
A["Acesso inicial Sandworm<br/>Pre-posicionamento em 2021<br/>Redes ucranianas comprometidas"] --> B["HermeticWizard deploy<br/>Código assinado com cert roubado<br/>T1553.002 - Hermetica Digital"]
B --> C["Varredura de rede<br/>Host discovery T1018<br/>Service scan T1046"]
C --> D["Propagação via WMI<br/>Credenciais válidas ou brute force<br/>T1047 + T1110.001"]
D --> E["Propagação via SMB<br/>Admin shares T1021.002<br/>Servico remoto T1569.002"]
E --> F["Transfer HermeticWiper<br/>Copia para todos os hosts<br/>T1570 lateral tool transfer"]
F --> G["Execução via regsvr32<br/>Lolbin bypass T1218.010<br/>Wiper ativado em massa"]
G --> H["Destruicao de dados<br/>HermeticWiper apaga MBR<br/>Sistemas irrecuperaveis"]
classDef access fill:#e74c3c,color:#fff
classDef deploy fill:#e67e22,color:#fff
classDef discover fill:#27ae60,color:#fff
classDef propagaté fill:#3498db,color:#fff
classDef transfer fill:#9b59b6,color:#fff
classDef exec fill:#1abc9c,color:#fff
classDef destroy fill:#2c3e50,color:#fff
class A access
class B deploy
class C discover
class D,E propagaté
class F transfer
class G exec
class H destroy
```
**Legenda:** [[g0034-sandworm|Sandworm]] - [[s0697-hermeticwiper|HermeticWiper]] - [[t1047-windows-management-instrumentation|T1047]] - [[t1553-002-code-signing|T1553.002]]
## Timeline do Ataque
```mermaid
timeline
title HermeticWizard - Contexto do Ataque Ucraniano 2022
Dez 2021 : Compilacao do HermeticWizard
: Pre-posicionamento Sandworm
23 Ján 2022 : WhisperGaté - primeiro ataque wiper
: Defacement de sites do governo ucraniano
15 Fev 2022 : DDoS contra bancos ucranianos
: Privatbank e Oschadbank offline
23 Fev 2022 : HermeticWiper + HermeticWizard deployados
: Centenas de organizacoes atingidas
24 Fev 2022 : Invasao militar russa comeca
: AcidRain wiper contra satelites Viasat
25 Fev 2022 : HermeticRansom deployado
: Decoy ransomware para confundir resposta
Mar 2022 : ESET e Symantec publicam análises
: Atribuicao ao grupo Sandworm
```
## Técnicas Utilizadas (MITRE ATT&CK)
| Técnica | ID | Descrição |
|---------|-----|-----------|
| SMB Admin Shares | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Propagação via compartilhamentos Windows |
| WMI | [[t1047-windows-management-instrumentation\|T1047]] | Execução remota em hosts da rede |
| Code Signing | [[t1553-002-code-signing\|T1553.002]] | Certificado Hermetica Digital roubado |
| Service Execution | [[t1569-002-service-execution\|T1569.002]] | Wiper instalado como servico remoto |
| Regsvr32 | [[t1218-010-regsvr32\|T1218.010]] | Lolbin para execução de payload |
| Remote System Discovery | [[t1018-remote-system-discovery\|T1018]] | Varredura de hosts na rede |
| Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | Identificação de servicos ativos |
| Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570]] | Copia do wiper para hosts remotos |
| Password Guessing | [[t1110-001-password-guessing\|T1110.001]] | Brute force em credenciais SMB/WMI |
| Clear Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Remoção de evidências forenses |
## Relevância LATAM/Brasil
O HermeticWizard como arma cibernetica demonstra um padrao de pre-posicionamento em infraestrutura critica que e diretamente relevante para o Brasil:
- **Infraestrutura critica brasileira** - o modelo de ataque Sandworm (pre-posicionamento + propagação em massa + wiper) e o templaté de ataque mais destrutivo documentado; Petrobras, Eletrobras, sistemas financeiros e governo federal sao alvos equivalentes ao que a Ucrania sofreu
- **Propagação lateral via WMI/SMB** - a maioria das organizacoes brasileiras de grande porte opera redes Windows com SMB e WMI amplamente acessíveis internamente; um worm equivalente ao HermeticWizard se propagaria rapidamente
- **Setor financeiro** - o Banco Central e instituicoes financeiras brasileiras sao alvos de alto impacto; destruicao de dados em larga escala via wiper propagado pelo HermeticWizard poderia paralisar o sistema financeiro
- **Lições operacionais** - o ataque ucraniano demonstra que detecção baseada em assinaturas e insuficiente quando o malware usa certificados roubados legitimos; EDR comportamental e essencial
O Brasil deve incluir cenários de ataque tipo HermeticWizard + HermeticWiper em seus exercicios de crisis cibernetica e planos de continuidade.
## Detecção
**Fontes de dados recomendadas:**
- **SMB lateral movement:** conexoes SMB para Admin Shares (`\\host\ADMIN
, `\\host\C
) de hosts que normalmente nao fazem isso - padrao de propagação do HermeticWizard
- **WMI process creation (Sysmon Event ID 20):** criação de processos via WMI por hosts remotos em larga escala - propagação automatica suspeita
- **Service installation events (Event ID 7045):** instalacao de novos servicos Windows em múltiplos hosts em curto intervalo - worm instalando wiper como servico
- **Code signing válidation:** verificação de certificados digitais de binarios desconhecidos - alertar para certificados expirados ou de empresas obscuras
**Regras de detecção:**
- **Sigma:** `regsvr32.exe /s /u /i:http` ou `regsvr32.exe /s nome.dll` por processos filho de servicos - técnica lolbin do HermeticWizard
- **Network detection:** varredura de portas 135 (RPC/WMI) e 445 (SMB) em subredes inteiras por um único host - comportamento de worm
- **EDR hunting:** processo copiando executavel (.exe) para `\\host\ADMIN
seguido de `sc.exe` ou `WMI Win32_Service.Creaté` - sequencia de instalacao do HermeticWizard
## Referências
- [1](https://attack.mitre.org/software/S0698) MITRE ATT&CK - S0698 HermeticWizard (2024)
- [2](https://www.welivesecurity.com/2022/03/01/hermetic-wizard-ukraine/) ESET WeLiveSecurity - HermeticWizard: Details of the wiper's spreading component (2022)
- [3](https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/) ESET - HermeticWiper: New data wiping malware hits Ukraine (2022)
- [4](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia) Symantec - Ukraine: Disk-wiping Attacks Precede Russian Invasion (2022)
- [5](https://www.mandiant.com/resources/ukraine-crisis-cyber-events) Mandiant - Ukraine Crisis Cyber Events (2022)
- [6](https://www.cisa.gov/sites/default/files/publications/CISA_Alert_AA22-057A.pdf) CISA - Destructive Malware Targeting Ukrainian Organizations (2022)