Il Cremlino ha lanciato un attacco all’Ucraina sotto molte forme, compresa quella della guerra informatica. Fra i malware che hanno colpito Kyiv dall’inizio dell’invasione russa, c’è il data wiper HermeticWiper, che il team di ricerca di Qualys ha analizzato. Per darci un’idea di come si sta combattendo questa cyberwar.
HermeticWiper, l’analisi di Qualys del data wiper che ha colpito l’Ucraina
Secondo quanto riportano i ricercatori del Qualys Research Team, “L’origine di HermeticWiper sembra essere strettamente connessa all’inizio del conflitto Russia/Ucraina”. Infatti il ransomware di tipo Data wiper che è stato distribuito a partire dal 23 febbraio 2022.
Ma Mosca avrebbe iniziato a prepararlo molto prima. “Il file che abbiamo analizzato ha un timestamp di ‘2021-12-28’. Questo wiper-ware ha preso questo nome perché gli aggressori hanno utilizzato un certificato di firma del codice rilasciato a ‘Hermetica Digital Ltd’. Ciò risale a una piccola azienda di progettazione di videogiochi con sede a Cipro senza legami con la Russia che afferma di non aver mai richiesto un certificato digitale, indicando un possibile furto di identità”.
Il code-signing di una società legittima permette di aggirare le protezioni antivirus dei sistemi operativi. Ma secondo Qualys già prima sono arrivati “exploit che aiutano nella distribuzione di malware o da più attacchi denial-of-service distribuiti per arrestare i servizi di protezione“. Infatti sono arrivati centinaia di attacchi contro i siti web del governo locale in Ucraina. L’attività era già stata testata in Lettonia e Lituania, per poi attaccare Kyiv poche ore prima dell’invasione.
L’obiettivo di HermeticWiper è quello di distruggere il master boot record (MBR) di un sistema. Utilizza in molti casi l’icona ‘Gift‘ e una volta eseguito ottiene diversi permessi per cancellare i dati sui dischi del computer: SeBackupPrivilege, SeDebugPrivilege SeLoadDriverPrivilege.
A questo punto il malware cambia alcuni valori bloccando diversi servizi di Windows, che possono fare da campanello d’allarme per la detenzione. Cambiando le chiavi del registro, permette di eliminare alcuni file fondamentali per il funzionamento del computer.
Potete capire meglio come scovare e bloccare questo data wiper seguendo le istruzioni fornite da Qualys, che trovate a questo indirizzo.
- ATTENZIONE: il seguente prodotto è destinato alla vendita per system integrator o assemblatori fai da te esperti del...