Ecco HermeticWiper, il primo malware ufficiale della guerra Russo-Ucraina. Il 23 febbraio è stato identificato questo malware dalle funzionalità devastanti, coinvolto in attacchi mirati verso obiettivi strategici del Paese. Proprio mentre la Russia invia truppe ai confini con l’Ucraina e ne autorizza l’invasione dei territori più orientali contesi.
Obiettivo del malware è distruttivo, quindi fare danni nei sistemi, il che lo rende più pericoloso dei comuni ransomware. Una volta colpiti, non si può ripristinare il sistema.
Per le possibili ricadute su computer occidentali, sono arrivati allarmi e raccomandazioni delle strutture competenti, come l’Agenzia per la sicurezza nazionale e lo Csirt nei giorni scorsi.
Indice degli argomenti
Come funziona HermeticWiper, malware in Ucraina
Finora questo scontro aveva portato “solo” a attacchi DDOS a siti governativi ucraini. Il malware segna una escalation prevista e prevedibile.
Le peculiarità di HermeticWiper (alias KillDisk.NCV) – “consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione”, avverte il nostro CSIRT.
Secondo ESET, il recente malware è stato installato su centinaia di dispositivi su reti ucraine, osservando inoltre che è stato creato il 28/12/21. Indica che gli attacchi sono stati probabilmente pianificati in largo anticipo.
SentinelLabs ha prodotto un’analisi dettagliata del malware, identificando come cuore pulsante del software malevolo, l’abuso di un driver per natura benigno utilizzato per gestire le partizioni della memoria. Anche altri gruppi in passato hanno utilizzato questa tecnica, però in questo caso lo si fa sfruttando un driver differente, mai abusato prima: empntdrv.sys.
HermeticWiper è studiato per mirare alla compromissione del Master Boot Record presente in ogni unità di memoria riconosciuta nel sistema. Così facendo si ha la certezza che quella macchina, infettata, non sarà più in grado di avviarsi, rendendola dunque indisponibile all’utente. L’MBR infatti è quella parte di unità di memoria, destinata alla memorizzazione delle istruzioni e dei dati necessari al sistema operativo di effettuare l’operazione di startup (accensione, boot), compromettendola, la macchina non trova più ciò che occorre per eseguire il sistema operativo.
Pericolo anche ransomware
Symantec nota anche che alcuni computer colpiti da HermeticWiper lo sono stati anche da ransomware, usati però solo come esca o per confondere le acque. Hanno criptato i dati ma senza scopo di riscatto.
HermeticWiper, allarme anche in Italia
Questo virus informatico nuovo è considerato pericoloso per le reti di computer. Lo si è analizzato con uno sforzo congiunto tra diversi centri di ricerca, tra cui i ricercatori di Symantec, ESET, Stairwell e RedCanary. Con estrema urgenza come detto, anche i CERT nazionali ne hanno appreso la notizia e diffuso le informative per la sicurezza della propria nazione. Infatti al momento sembra essere adoperato per obiettivi ucraini, ma come sappiamo, la guerra cibernetica non ha confini nazionali ben definiti e non si può avere, in questa fase, la certezza che venga adoperato per campagne malevole verso l’occidente.
“Nessuna guerra può oggi ignorare, purtroppo gli asset cibernetici, e ovviamente le armi più efficaci sono gli zero day. Veicolati attraverso malware”, dice Danilo Bruschi, professore dell’Università di Milano e uno dei padri della cyber italiana. “Purtroppo questo è un malware distruttivo, si fosse usato un ransomware terminate le ostilità si poteva almeno ripristinare la situazione, ma ovviamente non è questa l’intenzione” , aggiunge.
Già nei giorni scorsi l’Agenzia per la Cybersicurezza Nazionale (ACN) via Csirt ha segnalato che la crisi in Ucraina aumenta “i rischi cibernetici ai quali sono esposte le imprese italiane che intrattengono rapporti con operatori situati in territorio ucraino, derivanti da possibili danni a obiettivi digitali di quel Paese”, con varie raccomandazioni.
Crisi Russia-Ucraina, aziende italiane “esposte” a cyber attacchi: i consigli dell’Agenzia cyber
Oggi ha ribadito il concetto riferendosi proprio a HermeticWiper.
“Risulta essere stato distribuito un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento sistema operativo in esecuzione”.
L’Agenzia spinge quindi a adottare ora con urgenza le raccomandazioni già diramate nei giorni scorsi. E ha pubblicato nuovi IOC (indicatori di compromissione), con aggiornamenti regolari in diversi giorni.
Perché il malware mette in pericolo anche noi
L’allarme in Italia e in Occidente è fondato perché in passato lo scontro tra Russia e Ucraina ha partorito NotPetya, che ha causato miliardi di dollari di danni nel mondo diffondendosi da computer e reti ucraine a quelle di loro partner e clienti occidentali.
Almeno ora l’Occidente – le nostre aziende, pubbliche amministrazioni – dovrebbe essere più preparato. Si spera.
Guerra russo-ucraina, allarme cyber attacchi: rischi e strumenti di difesa
