HermeticWiper: attenzione al nuovo malware

Continuiamo a trattare i problemi derivanti dal conflitto tra Russia ed Ucraina per parlare di una nuova grande minaccia che, senza le dovute precauzioni, potrebbe rivelarsi prorompente. Negli ultimi giorni sembra infatti diffondersi in modo rapido un nuovo malware usato proprio in Ucraina per cancellare dati dai sistemi delle vittime. Il 23 febbraio scorso ESET ha diffuso una serie di tweet per raccontare la scoperta di HermeticWiper, questo il nome del malware, e la grande serie di attacchi DDoS susseguitisi all’interno del territorio ucraino.

L’attacco che diffonde questo malware è iniziato pochi giorni prima dell’inizio delle ostilità sul territorio ucraino e non si sa esattamente quanti siano i dispositivi colpiti fino ad ora, anche se ESET pensa che si tratti di un numero molto alto. L’attacco sembrava pronto da molto tempo, visto che sebbene sia iniziato a fine febbraio, HermeticWiper ha finito il suo sviluppo almeno a fine 2021. Dal 23 febbraio scorso, comunque, è iniziata una lunga serie di attacchi DDoS contro i sistemi istituzionali principali dello stato ucraino.

Un fattore rilevato dagli esperti è che il certificato di code signing di questo malware apparterrebbe ad una società con sede a Cipro dal nome Hermetica Digital, tuttavia tale certificato è stato emesso nell’aprile 2021, quindi potrebbe trattarsi di una società dismessa o fasulla.

HermeticWiper non è però il primo malware indirizzato allo stato ucraino rilevato negli ultimi mesi. Questo perché già nel gennaio scorso un data wiper conosciuto come WhisperGate ha cancellato a sua volta una ingente quantità di device rendendoli inservibili. Le funzionalità sono molto simili a quelle viste per HermeticWiper e si pensa che siano state tutte tattiche russe per tempestare i sistemi ucraini di attacchi DDoS e minare così la fiducia della popolazione verso il governo. Com’è noto, però, questo genere di problemi non rimane necessariamente confinato in un solo paese, può infatti diventare una minaccia per tutti i paesi che sosterranno l’Ucraina.

Per dare una misura dello stato di allerta, ricordiamo che anche il nostro CSIRT ha diramato un vademecum per esortare tutti a fare attenzione ai propri asset principali ed evitare problemi. Anche negli Stati Uniti, geograficamente lontani ma chiaramente coinvolti, hanno diffuso una nota mediante il CISA (Cybersecurity & Infrastructure Security Agency) per spiegare i rischi e le pratiche di mitigazione di quest’ultimi.

 

Fonti: 1, 2, 3