fbpx
NewsSoftwareTech

HermeticWiper, analisi del malware che ha colpito l’Ucraina

Qualys ha analizzato il malware usato contro il governo di Kyiv

Il Cremlino ha lanciato un attacco all’Ucraina sotto molte forme, compresa quella della guerra informatica. Fra i malware che hanno colpito Kyiv dall’inizio dell’invasione russa, c’è il data wiper HermeticWiper, che il team di ricerca di Qualys ha analizzato. Per darci un’idea di come si sta combattendo questa cyberwar.

HermeticWiper, l’analisi di Qualys del data wiper che ha colpito l’Ucraina

Secondo quanto riportano i ricercatori del Qualys Research Team, L’origine di HermeticWiper sembra essere strettamente connessa all’inizio del conflitto Russia/Ucraina”. Infatti il ransomware di tipo Data wiper che è stato distribuito a partire dal 23 febbraio 2022.

Ma Mosca avrebbe iniziato a prepararlo molto prima. “Il file che abbiamo analizzato ha un timestamp di ‘2021-12-28’. Questo wiper-ware ha preso questo nome perché gli aggressori hanno utilizzato un certificato di firma del codice rilasciato a ‘Hermetica Digital Ltd’. Ciò risale a una piccola azienda di progettazione di videogiochi con sede a Cipro senza legami con la Russia che afferma di non aver mai richiesto un certificato digitale, indicando un possibile furto di identità”.

cyber attacchi italia

Il code-signing di una società legittima permette di aggirare le protezioni antivirus dei sistemi operativi. Ma secondo Qualys già prima sono arrivati “exploit che aiutano nella distribuzione di malware o da più attacchi denial-of-service distribuiti per arrestare i servizi di protezione“. Infatti sono arrivati centinaia di attacchi contro i siti web del governo locale in Ucraina. L’attività era già stata testata in Lettonia e Lituania, per poi attaccare Kyiv poche ore prima dell’invasione.

L’obiettivo di HermeticWiper è quello di distruggere il master boot record (MBR) di un sistema. Utilizza in molti casi l’icona ‘Gift‘ e una volta eseguito ottiene diversi permessi per cancellare i dati sui dischi del computer: SeBackupPrivilege, SeDebugPrivilege SeLoadDriverPrivilege.

A questo punto il malware cambia alcuni valori bloccando diversi servizi di Windows, che possono fare da campanello d’allarme per la detenzione. Cambiando le chiavi del registro, permette di eliminare alcuni file fondamentali per il funzionamento del computer.

Potete capire meglio come scovare e bloccare questo data wiper seguendo le istruzioni fornite da Qualys, che trovate a questo indirizzo.

Bestseller No. 1
Lenovo IdeaPad 3 Notebook - Display 15.6" FullHD (Processore...
  • Display 15.6" FullHD IPS con risoluzione 1920x1080, luminosità massima di 300nits, anti-glare
  • Grazie al processore Intel Core i7-1165G7 puoi ottenere delle prestazioni ottime su un notebook sottile e leggero
  • Storage da 512GB SSD M.2 2280 PCIe 3.0x4 NVMe espandibili fino ad 1 TB; per avere tutto lo spazio necessario dove...

Stefano Regazzi

Il battere sulla tastiera è la mia musica preferita. Nel senso che adoro scrivere, non perché ho una playlist su Spotify intitolata "Rumori da laptop": amo la tecnologia, ma non fino a quel punto! Lettore accanito, nerd da prima che andasse di moda.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Back to top button