Dopo HermeticWiper, un nuovo malware di tipo data wiper (che prevede cioè la cancellazione definitiva di un file dal proprio computer) è stato individuato in una rete governativa ucraina, il giorno dopo che attacchi informatici distruttivi avevano colpito più entità nel Paese prima dell’inizio dell’invasione militare russa.
Secondo il prestigioso sito The Hacker News, l’azienda slovacca di sicurezza informatica ESET ha soprannominato il nuovo malware “IsaacWiper”, dichiarando di averlo rilevato il 24 febbraio in un’organizzazione non interessata da HermeticWiper, il primo malware (sempre di tipo data wiper) che ha preso di mira diverse organizzazioni il 23 febbraio come parte di un sabotaggio volto a rendere inutilizzabili computer e reti informatiche.
IsaacWiper: attacco cyber “a più teste”
Ulteriori analisi degli attacchi HermeticWiper, che hanno infettato almeno cinque organizzazioni ucraine, hanno rivelato un componente che propaga il malware attraverso la rete compromessa e un modulo ransomware che funge da “diversivo” per facilitare gli attacchi wiper (che sono il vero obiettivo), corroborando un precedente rapporto di Symantec.
“Questi attacchi distruttivi hanno sfruttato almeno tre componenti: HermeticWiper per cancellare i dati, HermeticWizard per la diffusione sulla rete locale e HermeticRansom che funge da ransomware esca“, ha affermato la società.
In un’analisi separata del nuovo ransomware, la società russa di sicurezza informatica Kaspersky lo ha definito un’operazione dell’ultimo minuto, aggiungendo che è stato “probabilmente utilizzato come cortina fumogena per l’attacco HermeticWiper a causa del suo stile non sofisticato”.
IsaacWiper rende impossibile l’analisi forense
Come misura anti-forense, HermeticWiper è progettato anche per ostacolare l’analisi cancellandosi dal disco sovrascrivendo il proprio file con byte casuali.
Attacco programmato da diverso tempo
ESET ha affermato di non essere stata in grado di trovare “nessuna connessione tangibile” per attribuire questi attacchi a un noto attore di minacce. Ma gli artefatti del malware scoperti finora rendono chiaro che le intrusioni erano state pianificate da diversi mesi, con le entità prese di mira che hanno subito compromissioni con largo anticipo rispetto alla fase di attacco.
“Ciò si basa su diversi fatti: i timestamp di compilazione di HermeticWiper PE, il più vecchio dei quali è il 28 dicembre 2021; la data di emissione del certificato di firma del codice del 13 aprile 2021; e l’implementazione di HermeticWiper tramite la policy di dominio predefinita in almeno un’istanza , suggerendo che gli aggressori avevano accesso in precedenza a uno dei server Active Directory della vittima“, ha affermato Jean-Ian Boutin, responsabile della ricerca sulle minacce di ESET.
IsaacWiper non condivide sovrapposizioni a livello di codice con HermeticWiper ed è sostanzialmente meno sofisticato, anche se si propone di enumerare tutte le unità fisiche e logiche prima di procedere con le operazioni di cancellazione dei file.
“Il 25 febbraio 2022, gli aggressori hanno rilasciato una nuova versione di IsaacWiper con i log di debug“, hanno affermato i ricercatori. “Questo potrebbe indicare che gli aggressori non sono stati in grado di cancellare alcune delle macchine prese di mira e hanno aggiunto messaggi di registro per capire cosa stava succedendo“.
Rischi per l’Italia
Al momento l’attacco è geograficamente limitato alle organizzazioni ucraine, ma nel tempo verrà sicuramente utilizzato per altri obiettivi, sicuramente militari ma probabilmente anche per aziende e organizzazioni: per questo motivo, va innalzato il livello di guardia (e di cyber security) di imprese e organizzazioni italiane.
Ti è piaciuto questo articolo? Contattaci per una consulenza di cyber security: