È stato usato nei giorni scorsi in azioni contro agenzie governative e banche ucraine. Si tratta di un malware che può distruggere i dati presenti su un dispositivo, minando anche il corretto funzionamento del sistema operativo. Non legato a riscatti o frodi, ma con un subdolo approccio distruttivo
“L’allarme lanciato dall’Agenzia per la cybersicurezza nazionale, in merito ai rischi per le aziende e le amministrazioni italiane di attacchi informatici di tipo distruttivo, impone una concreta accelerazione nell’adozione di idonei strumenti di difesa cibernetica”. Parola di Gerardo Costabile, amministratore delegato di DeepCyber, società che si occupa di cybersecurity, cyber intelligence, antifrode e protezione dei dati. ”È urgente implementare le infrastrutture digitali con strumenti sempre più sofisticati”, prosegue, “per poter far fronte a incursioni informatiche potenzialmente molto dannose”.
Preoccupa soprattutto HermeticWiper, il primo malware ufficiale della guerra lanciata dalla Russia contro l’Ucraina. È stato usato nei giorni scorsi in azioni contro agenzie governative e banche ucraine. Si tratta di un malware che può distruggere i dati presenti su un dispositivo, minando anche il corretto funzionamento del sistema operativo in esecuzione. “Sono modalità note da tempo, non legate a tecniche per chiedere riscatti o effettuare frodi, bensì finalizzate a un più subdolo approccio distruttivo, in linea con gli scenari più analogici che si registrano in queste ore”, osserva Costabile.
CyberArk, società israelo-statunitense leader nella sicurezza informatica, ha identificato alcune caratteristiche specifiche del malware sulla base delle informazioni attualmente disponibili e le analisi condotte. Prima: gli attacchi sono altamente mirati e HermeticWiper non sembra sfruttare le vulnerabilità della catena di approvvigionamento o altre tecniche di superdiffussione. Seconda: l’implementazione richiede diritti di amministrazione privilegiati e le tattiche utilizzate sono simili a quelle state osservate negli attacchi ransomware NotPetya del 2017, che hanno preso di mira inizialmente anche le infrastrutture ucraine. Terza: Active Directory può essere usato come piattaforma di lancio, un po’ come già capito nell’attacco ransomware Kaseya l’anno scorso. Quarta: sembra che il wiper sia configurato per non criptare i controller di dominio permettendo a quest’ultimo di continuare a funzionare e al ransomware di utilizzare credenziali valide per autenticarsi ai server e crittografarli.
