# HermeticWiper > Tipo: **wiper** · S0697 · [MITRE ATT&CK](https://attack.mitre.org/software/S0697) ## Visão Geral [[s0697-hermeticwiper|HermeticWiper]] (também chamado de Trojan.Killdisk, DriveSlayer ou FoxBlade pela Microsoft) e um destrutivo wiper de dados descoberto em 23 de fevereiro de 2022 - horas antes do inicio da invasao russa em grande escala da Ucrania - em ataques contra organizacoes ucranianas nos setores de governo, financeiro, defesa, aviacao e servicos de TI. O malware recebeu seu nome por usar um certificado de assinatura de código válido roubado da empresa cipriota Hermetica Digital Ltd, o que lhe permitia passar por verificacoes de confiança de código assinado em Windows. A sofisticacao técnica do HermeticWiper reside em sua abordagem destrutiva: ele embedded o driver legitimo `EaseUS Partition Master` (empagent.sys) como recurso comprimido internamente. Esse driver e utilizado para realizar operações de baixo nivel no disco rigido - corrompendo o Master Boot Record (MBR) e as estruturas do sistema de arquivos de forma a tornar o sistema completamente irrecuperavel sem restauracao completa. O HermeticWiper foi implantado como primeiro componente de uma familia de ferramentas destrutivas coordenadas: o [[s0698-hermeticwizard|HermeticWizard]] (worm de propagação via SMB/WMI), o [[hermeticransom|HermeticRansom]] (ransomware decoy para distracão) e o [[whispergaté|WhisperGaté]] (wiper que precedeu o HermeticWiper semanas antes). Atividade paralela foi observada na Letonia e Lituania, sugerindo campanha coordenada contra paises de apoio a Ucrania. **Plataformas:** Windows ## Como Funciona O HermeticWiper opera em quatro fases: 1. **Verificação de ambiente**: Checa condicoes de tempo (T1497.003) para confirmar que nao esta em sandbox; manipula tokens de acesso (T1134) para obter privilegios de sistema necessários para operações de disco. 2. **Extração do driver**: Descomprime e instala o driver `empagent.sys` (EaseUS Partition Master) para obter acesso direto ao hardware de armazenamento sem passar pelas APIs do Windows. 3. **Destruicao do disco**: Usa o driver instalado para corromper o MBR e as estruturas de particao (T1561.002). Sobrescreve registros de inicializacao de todas as particoes. Apaga dados de arquivos selecionados. O processo e altamente otimizado para destruicao rapida e maxima. 4. **Inibicao de recuperacao**: Desabilita Shadow Copies e mecanismos de recuperacao do Windows (T1490). Remove indicadores de intrusão (T1070). Propagação via Group Policy (T1484.001) para escalar o impacto. A separacao de funções entre HermeticWiper (destruicao), HermeticWizard (propagação) e HermeticRansom (distracao) demonstra planejamento operacional cuidadoso e divisao de responsabilidades entre componentes. ## Attack Flow ```mermaid graph TB A["🔐 Acesso Inicial<br/>Comprometimento pre-invasao<br/>organizacoes ucranianas"] --> B["🌐 Propagação<br/>HermeticWizard via SMB e WMI<br/>para mais sistemas"] B --> C["🎭 Distração<br/>HermeticRansom como decoy<br/>parece ransomware comum"] C --> D["🔑 Escalada Privilegio<br/>Manipulação de tokens<br/>para acesso ao disco"] D --> E["💽 Driver EaseUS<br/>empagent.sys extraido<br/>e instalado"] E --> F["💥 Destruicao MBR<br/>Corrompe MBR e estruturas<br/>de particao - irrecuperavel"] classDef init fill:#1a5276,color:#fff,stroke:#154360 classDef prop fill:#7f8c8d,color:#fff,stroke:#626567 classDef decoy fill:#d35400,color:#fff,stroke:#a04000 classDef priv fill:#8e44ad,color:#fff,stroke:#6c3483 classDef driver fill:#c0392b,color:#fff,stroke:#922b21 classDef dest fill:#922b21,color:#fff,stroke:#6e2318 class A init class B prop class C decoy class D priv class E driver class F dest ``` ## Ecossistema de Wipers Ucranianos 2022 ```mermaid graph TB A["⚔️ Cyberguerra Ucrania 2022<br/>Operacoes destructivas coordenadas"] --> B["WhisperGaté<br/>ján/2022 - wiper<br/>disfarçado de ransomware"] A --> C["HermeticWiper<br/>fev/2022 - dia antes<br/>da invasao"] A --> D["HermeticWizard<br/>fev/2022 - worm<br/>de propagação"] A --> E["CaddyWiper<br/>mar/2022 - wiper<br/>continuo"] A --> F["Industroyer2<br/>abr/2022 - ataque<br/>a rede eletrica"] classDef war fill:#1a5276,color:#fff,stroke:#154360 classDef wiper fill:#c0392b,color:#fff,stroke:#922b21 classDef ics fill:#922b21,color:#fff,stroke:#6e2318 class A war class B wiper class C wiper class D wiper class E wiper class F ics ``` ## Técnicas MITRE ATT&CK - [[t1485-data-destruction|T1485 - Data Destruction]] - destruicao de dados por sobrescrita - [[t1561-002-disk-structure-wipe|T1561.002 - Disk Structure Wipe]] - corrompe MBR e particoes - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - desabilita Shadow Copies - [[t1553-002-code-signing|T1553.002 - Code Signing]] - certificado roubado da Hermetica Digital - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - escalada de privilegios - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - propagação por GPO - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - anti-sandbox por verificação de tempo - [[t1070-indicator-removal|T1070 - Indicator Removal]] - remoção de rastros ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455 - atribuicao ESET, Microsoft, CISA) ## Malware Associado - [[s0698-hermeticwizard|HermeticWizard]] - worm de propagação SMB/WMI complementar - [[hermeticransom|HermeticRansom]] - ransomware decoy para distracao - [[whispergaté|WhisperGaté]] - wiper predecessor (ján/2022) - [[s0693-caddywiper|CaddyWiper]] - wiper subsequente (mar/2022) - [[industroyer2|Industroyer2]] - cyberarma ICS subsequente (abr/2022) ## Detecção A detecção do HermeticWiper deve priorizar as fases de staging e execução, pois uma vez ativado o dano e irreversivel: - Monitorar carregamento de drivers nao-padrao (especialmente `empagent.sys`) por processos nao relacionados a gerenciamento de particao - Alertas para acesso direto ao disco (`\\.\PhysicalDrive0`) por processos nao-administrativos - Event IDs 7036 (servico iniciado/parado) em volume incomum - Monitorar modificacoes de Group Policy incomuns (especialmente em massa) - Backups offsite e offline como principal mitigação > [!danger] Wiper - Sem Recuperacao > Sistemas afetados pelo HermeticWiper requerem reimagem completa. Backups offline e planos de recuperacao de desastres sao a única defesa efetiva após a execução. ## Relevância LATAM/Brasil Embora o HermeticWiper tenha sido implantado específicamente contra a Ucrania, sua relevância para o Brasil e significativa como caso de estudo de armas ciberneticas destructivas em conflito real. As técnicas de wiper usando drivers legitimos embarcados foram amplamente estudadas e replicadas por outros atores. O setor de infraestrutura critica brasileira (energia eletrica, telecomúnicacoes, agua) enfrenta riscos crescentes de ataques destrutivos em cenários de escalada geopolitica. A ANPD e a ANEEL recomendam que operadores de infraestrutura critica mantenham planos de recuperacao testados e backups inacessiveis para ransomware e wipers. ## Referências - [MITRE ATT&CK - S0697](https://attack.mitre.org/software/S0697) - [ESET - HermeticWiper: New data-wiping malware hits Ukraine](https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/) - [Symantec - Destructive Attacks Targeting Ukraine Infrastructure](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia) - [Microsoft - Disruption Campaign Ukraine - FoxBlade](https://msrc.microsoft.com/blog/2022/02/mstic-analysis-of-the-destructive-malware-targeting-ukraine/)