Cos’è Hermetic Wiper, il malware che ha colpito l’Ucraina

La schermata di un pc attaccato da Hermetic Wiper, il malware usato per un cyberattacco nella guerra in Ucraina
Condividi l'articolo!

La cyberguerra si arricchisce di un nuovo strumento: Hermetic Wiper, un malware per la cancellazione dei dati.

E’ il primo malware ufficiale nella guerra lanciata dalla Russia contro l’Ucraina. Può distruggere i dati in modo non reversibile.

Entriamo nel dettaglio.

Il software è stato usato nei giorni scorsi in azioni contro agenzie governative ucraine. Ha colpito il 23 febbraio dopo una serie di attacchi DdoS (Denial of Service).

Il malware effettua una operazione nota in gergo informatico come “data wiping”. Ovvero la cancellazione definitiva di uno o più file sul dispositivo infettato.

Quando il data wiper entra in azione, il file non è più ripristinabile o recuperabile. In nessun modo.

I ricercatori di ESET hanno identificato per primi il nuovo malware, ribattezzato Win32/KillDisk.NCV.

Il data wiper è stato individuato poco prima delle 15 dello scorso mercoledì. Il timestamp recita 28 dicembre 2021. L’attacco, dunque, era in preparazione da tempo.

Il wiper distrugge completamente i dati su un dispositivo, minando il funzionamento del sistema operativo in esecuzione.

Con questo tipo di strumento, l’attacco non è volto a chiedere un riscatto, come nell’uso di ransomware. L’obiettivo è distruggere i dati presenti su un dispositivo.

Nessuna operazione di recupero dati è possibile.

Secondo gli analisti, il malware sfrutta i driver legittimi di EaseUS Partition Master, popolare software di gestione del disco.

I cyberaggressori hanno utilizzato un certificato di firma del codice autentico. Risulta rilasciato a una società con sede a Cipro, la Hermetica Digital Ltd. Da qui il nome del wiper.

Sembra inoltre che gli hacker abbiano avuto accesso alla rete di una vittima prima di scatenare il malware.

Gli analisti di CyberArk hanno individuato le caratteristiche dell’attacco portato dal nuovo ceppo.

1. Attacchi altamente mirati

Hermetic Wiper non sembra sfruttare le vulnerabilità della supply chain (catena di approvigionamento) o altre tecniche di “super-spreader” (super-diffusore).

Tuttavia, “l’analisi iniziale del wiper”, scrivono da CyberArk, “non rivela parametri di ambito come le impostazioni della lingua della tastiera, il fuso orario dell’orologio, gli IP esterni e così via”.

Il malware, o le sue varianti, potrebbero dunque diffondersi in altri paesi o in altri target.

2. La distribuzione richiede diritti di amministratore privilegiati

ll wiper sfrutta privilegi per rendere l’host “non avviabile”. I record di avvio vengono sovrascritti e così le configurazioni. I backup vengono eliminati.

Tattiche già osservate negli attacchi informatici con il ransomware NotPetya, iniziati proprio in Ucraina nel 2017.

3. Active Directory può essere utilizzato come trampolino di lancio

In almeno un caso, il software wiper ha sfruttato un accesso privilegiato ad Active Directory.

Un’operazione simile all’attacco con il ransomware Kaseya del 2021.

4. La compromissione dell’identità è fondamentale

Il wiper sembra configurato per non crittografare i domain controller. (I controller di dominio gestiscono le richieste di autenticazione per la sicurezza.)

Significa che il dominio continua a funzionare, mentre il malware può utilizzare credenziali valide per autenticarsi sui server e crittografarli.

Il ruolo dell’identità è fondamentale in questi attacchi.

Rubando identità e credenziali dei dipendenti o di terze parti autorizzate, i cyberterroristi possono accedere alla rete di destinazione e/o spostarsi lateralmente.

Hermetic Wiper è dunque una nuova, grave minaccia nella guerra informatica.

Se n’è occupato anche il CSIRT, Computer Security Incident Response Team – Italia. E’ il team di esperti istituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN)

Come difendersi?

Implementando in modo urgente azioni di mitigazione per la protezione delle infrastrutture digitali nazionali.

Clicca qui per maggiori informazioni.


Condividi l'articolo!

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Carrello
Torna su