Attacchi informatici più mirati contro l'Ucraina

8. Marzo 2022
| Non ci sono commenti
Attacchi informatici più mirati contro l'Ucraina

Condividi post

Durante l'invasione russa, un altro programma dannoso, IsaacWiper, apparve dopo HermeticWiper. Sono rivolti direttamente alle organizzazioni ucraine. Inoltre, vengono effettuati attacchi con il malware HermeticWizard per la distribuzione nella rete locale e HermeticRansom come ransomware esca.

Sulla scia dell'invasione russa dell'Ucraina, i ricercatori ESET hanno scoperto nuove famiglie di malware Wiper utilizzate in attacchi informatici mirati alle organizzazioni ucraine. Il primo attacco informatico è iniziato poche ore prima dell'invasione russa con massicci attacchi DDoS contro i principali siti Web ucraini. Nel corso di questi attacchi sono stati utilizzati anche alcuni dei nuovi tipi di malware: HermeticWiper per la cancellazione dei dati, HermeticWizard per la distribuzione nella rete locale e HermeticRansom come ransomware esca.

Gli attacchi DDoS e HermeticWiper sono solo l'inizio

Con l'inizio dell'invasione russa, è iniziato un secondo attacco contro una rete del governo ucraino, utilizzando anche un tergicristallo. I ricercatori ESET hanno chiamato questo IsaacWiper. Gli artefatti del malware indicano che le azioni erano state pianificate per diversi mesi. Finora, gli esperti del produttore europeo di sicurezza informatica non sono stati in grado di attribuire gli attacchi a un noto gruppo di hacker. Non si può escludere che prima o poi il malware venga utilizzato anche al di fuori dell'Ucraina.

“Attualmente stiamo indagando se esiste una connessione tra IsaacWiper e HermeticWiper. IsaacWiper è stato rilevato presso un'organizzazione governativa ucraina che non è stata interessata da HermeticWiper", afferma Jean-Ian Boutin, responsabile della ricerca sulle minacce di ESET.

Attacchi pianificati con largo anticipo

I ricercatori ESET presumono che le organizzazioni interessate siano state compromesse molto prima dell'utilizzo del tergicristallo. “Questa valutazione si basa su diversi fatti: i timestamp di compilazione di HermeticWiper, il più vecchio dei quali è il 28 dicembre 2021; la data di emissione del Code Signing Certificate del 13 aprile 2021; e l'implementazione di HermeticWiper tramite la policy di dominio predefinita in almeno un caso. Ciò indica che gli aggressori avevano precedentemente accesso a uno dei server Active Directory della vittima", ha continuato Boutin.

IsaacWiper è apparso nella telemetria ESET il 24 febbraio. Il timestamp di compilazione più vecchio trovato era il 19 ottobre 2021, il che significa che se il timestamp non è stato manomesso, IsaacWiper potrebbe essere stato utilizzato mesi prima in operazioni precedenti.

Un'altra ondata di attacchi con IsaacWiper

Solo un giorno dopo aver utilizzato IsaacWiper, gli aggressori hanno rilasciato una nuova versione con i log di debug. Ciò potrebbe indicare che gli aggressori non sono stati in grado di eliminare alcune delle macchine prese di mira e hanno aggiunto messaggi di registro per capire cosa è successo. I ricercatori ESET non sono stati in grado di collegare questi attacchi a un noto attore di minacce poiché non ci sono somiglianze di codice significative con altri esempi nella raccolta di malware ESET.

HermeticWiper si diffonde nelle organizzazioni attaccate

Nel caso di HermeticWiper, ESET ha osservato le prove del movimento laterale del malware all'interno delle organizzazioni prese di mira e ha stabilito che gli aggressori probabilmente hanno assunto il controllo di un server Active Directory. Un worm personalizzato, che i ricercatori ESET hanno soprannominato HermeticWizard, è stato utilizzato per diffondere il tergicristallo sulle reti compromesse. Per il secondo tergicristallo - IsaacWiper - gli aggressori hanno utilizzato RemCom, uno strumento di accesso remoto, e possibilmente Impacket per muoversi all'interno della rete.

Inoltre, HermeticWiper si cancella dal disco sovrascrivendo il proprio file con byte casuali. Questa misura anti-forense ha probabilmente lo scopo di impedire l'analisi del tergicristallo dopo un incidente. Il ransomware esca HermeticRansom è stato distribuito contemporaneamente a HermeticWiper, forse per offuscare le azioni del tergicristallo.

Il termine "ermetico" deriva da Hermetica Digital Ltd. ab, società cipriota alla quale è stato rilasciato il Code Signing Certificate. Secondo un rapporto Reuters, questo certificato non sembra essere stato rubato da Hermetica Digital. Piuttosto, è più probabile che gli aggressori si siano atteggiati a società cipriota per ottenere questo certificato da DigiCert. ESET Research ha chiesto alla società emittente DigiCert di revocare immediatamente il certificato.

Processo di attacchi informatici contro l'Ucraina

  • Il 23 febbraio, il malware HermeticWiper (insieme a HermeticWizard e HermeticRansom) è stato distribuito contro diverse agenzie e organizzazioni governative ucraine. Questo attacco informatico arriva poche ore prima dell'inizio dell'invasione russa dell'Ucraina.
  • HermeticWiper si cancella dal disco sovrascrivendo il proprio file. Questa procedura ha lo scopo di rendere più difficile l'analisi dell'incidente.
  • HermeticWiper è distribuito su reti locali compromesse da un worm personalizzato che abbiamo chiamato HermeticWizard.
  • Il 24 febbraio è iniziata una seconda ondata di attacchi contro una rete del governo ucraino, utilizzando anche un tergicristallo che ESET chiama IsaacWiper.
  • Il 25 febbraio, gli aggressori hanno rilasciato una nuova versione di IsaacWiper con registri di debug che indicavano che non erano in grado di cancellare alcuni dei computer presi di mira.
  • I risultati dell'analisi indicano che gli attacchi erano stati pianificati per diversi mesi.
  • Gli esperti di sicurezza ESET non sono ancora stati in grado di assegnare questi attacchi a nessun gruppo di hacker.
Altro su ESET.com

 

Informazioni su ESET

ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

ESET, Messaggi PR
, , , , ,