skip to Main Content

Jumpcloud Hacker

Ucraina, cosa combina il nuovo malware scoperto

Si chiama Isaac Wiper il nuovo malware individuato da Eset. Ha colpito reti governative a Kiev. Tutti i dettagli

 

Il fronte cyber continua ad allargarsi nella guerra in Ucraina.

Si chiama Isaac Wiper, il nuovo malware rilevato in attacchi contro organizzazioni governative in Ucraina. Arriva infatti dopo Hermetic Wiper, il malware usato nei giorni scorsi in azioni contro agenzie governative e banche ucraine. Questa tipologia di malware può distruggere i dati presenti su un dispositivo, minando anche il corretto funzionamento sistema operativo in esecuzione.

“La scoperta è dei ricercatori della società di sicurezza Eset, per il momento non ci sono evidenze di incidenti simili oltre i confini di quel paese” riporta oggi l’Ansa.

E proprio ieri Microsoft ha reso noto di aver tracciato un altro virus che si chiama FoxBlade, apparso nello scenario cibernetico proprio a ridosso delle ore in cui la Russia invadeva l’Ucraina.

Gli attacchi iniziali HermeticWiper/FoxBlade hanno colpito le organizzazioni “prevalentemente situate in o con un nesso con l’Ucraina” il 23 febbraio, ha affermato Microsoft nel blog. Altri ricercatori hanno notato che HermeticWiper ha colpito le organizzazioni ucraine diverse ore prima dell’invasione russa dell’Ucraina.

Sulla scia degli attacchi wiper come HermeticWiper, negli Usa l’Fbi e l’Agenzia federale per la sicurezza informatica e le infrastrutture (Cisa) hanno emesso un avviso sulla possibilità che il malware wiper osservato in Ucraina possa impattare anche organizzazioni al di fuori del paese.

Ma l’allerta per attacchi cyber è massima anche in Italia. In relazione all’evoluzione del conflitto in Ucraina e della situazione geopolitica che ne consegue, oggi l’Agenzia per la Cybersicurezza Nazionale raccomanda nuovamente tutti gli operatori di infrastrutture digitali nazionali di “elevare il livello di attenzione”.

Tutti i dettagli.

COME AGISCE IL MALWARE ISAAC WIPER IN UCRAINA

Secondo gli esperti di Eset, Isaac Wiper è composto da una fase che infetta le reti locali, poi un ransomware che prende in ostaggio i dispositivi ma funge anche da diversivo.

“Per quanto riguarda IsaacWiper, stiamo attualmente valutando i suoi eventuali collegamenti con HermeticWiper. È importante notare che abbiamo rilevato IsaacWiper in un’organizzazione governativa ucraina non influenzata dal precedente HermeticWiper”, ha affermato Jean-Ian Boutin, Head of Threat Research di Eset. In un nuovo post sul blog, la società ha affermato che l’attacco IsaacWiper probabilmente “è iniziato poco dopo l’invasione militare russa e ha colpito una rete governativa ucraina”.

AL MOMENTO NON È NOTA L’ATTRIBUZIONE

Non ci sono, al momento, prove che attribuiscano questi cyber-attacchi alla Russia.

“Gli strumenti suggeriscono che gli attacchi sono stati pianificati per molti mesi”, dicono gli esperti da Eset. Al momento non è nota un’attribuzione ad un gruppo di hacker specifico.

L’ALLARME DELL’AGENZIA CYBER NAZIONALE ITALIANA

A ridosso del conflitto sono stati individuati altri due virus di tipo ‘wiper’, che cancellano dati e rendono inutilizzabili le infrastrutture, su cui anche l’Agenzia italiana di cybersicurezza ha lanciato l’allarme.

Proprio nel giorno dell’attacco russo all’Ucraina, l’Agenzia per la cybersicurezza nazionale invitava le aziende e le amministrazioni italiane ad “implementare urgentemente gli indicatori di compromissione disponibili” sul sito del Csirt (il team di risposta in caso di incidenti che opera nell’ambito dell’Agenzia). Oltre ad “elevare il livello di attenzione adottando in via prioritaria, le azioni di mitigazione” segnalate.

IL NUOVO ALERT DEL CSIRT

E oggi proprio il Csirt ha diramato un nuovo alert. “Ricercatori di sicurezza hanno rilevato la diffusione di nuovi malware ai danni delle organizzazioni ucraine” si legge sul sito.

Nel dettaglio si tratta di: IsaacWiper, malware di tipo “wiper”; HermeticWizard, malware il cui compito è distribuire i “wiper” su una rete locale tramite WMI e SMB e HermeticRansom, ransomware (scritto nel linguaggio Go).

LE AZIONI DI MITIGAZIONI SUGGERITE

Infine, il Csirt conclude con le azioni di mitigazioni suggerite. “Ove non già provveduto e in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza, si raccomanda di implementare gli indicatori di compromissione disponibili in allegato” si legge sul sito. “E di elevare il livello di attenzione adottando in via prioritaria, le azioni di mitigazione elencate nelle precedenti pubblicazioni di questo CSIRT”.

Back To Top