Home Technologia IsaacWiper e HermeticWizard – Nuovi programmi malware wiper e worm rivolti all’Ucraina

IsaacWiper e HermeticWizard – Nuovi programmi malware wiper e worm rivolti all’Ucraina

104
0

Mentre le recenti ostilità continuano a svilupparsi tra Russia e Ucraina, i ricercatori ESET hanno scoperto diverse famiglie di malware che prendono di mira le organizzazioni ucraine.
– Il 23 febbraio 2022, una campagna distruttiva che utilizzava HermeticWiper ha preso di mira diverse organizzazioni ucraine.
– Questo attacco informatico ha preceduto l’inizio dell’invasione dell’Ucraina da parte delle forze della Federazione Russa.
– I vettori di accesso iniziale variavano da organizzazione a organizzazione. Ho confermato un caso in cui il wiper è stato applicato tramite GPO e ho scoperto un worm utilizzato per diffondere questo wiper su un’altra rete compromessa.
– Il malware suggerisce che gli attacchi sono stati pianificati alcuni mesi fa.
– Il 24 febbraio 2022 è iniziato un secondo attacco distruttivo a una rete del governo ucraino, utilizzando un programma wiper che ho chiamato IsaacWiper.
– ESET Research non è ancora stata in grado di attribuire questi attacchi a un malware identificato.

– HermeticWiper: rende inutilizzabile un sistema corrompendone i dati.
– HermeticWizard: diffonde HermeticWiper su una rete locale tramite WMI e SMB.
– HermeticRansom: ransomware scritto in Go.

HermeticWiper è stato osservato su centinaia di sistemi in almeno cinque organizzazioni ucraine.

Il 24 febbraio 2022, i ricercatori ESET hanno rilevato un altro nuovo tergicristallo in una rete del governo ucraino. I ricercatori ESET l’hanno chiamato IsaacWiper e stanno attualmente valutando i suoi collegamenti a HermeticWiper, se presenti. È importante notare che è stato visto in un’organizzazione che non è stata influenzata da HermeticWiper.

premio

Al momento, i ricercatori ESET non hanno trovato alcun collegamento tangibile a un noto criminale informatico. HermeticWiper, HermeticWizard e HermeticRansom non presentano somiglianze di codice significative con altri campioni nella raccolta di malware ESET. IsaacWiper non è ancora stato assegnato.

Read:   Studio Motorola Romania: schermo smartphone nelle migliori specifiche all'acquisto di un nuovo dispositivo

Cronologia

HermeticWiper ed HermeticWizard sono firmati da un certificato di firma del codice associato a Hermetica Digital Ltd il 13 aprile 2021. ESET ha richiesto al consiglio di emissione (DigiCert) di revocare il certificato, cosa che è avvenuta il 24 febbraio 2022.

Secondo un rapporto di Reuters, sembra che questo certificato non sia stato rubato da Hermetica Digital. È possibile che gli aggressori abbiano impersonato l’azienda cipriota per ottenere questo certificato da DigiCert.

I ricercatori ESET affermano con grande sicurezza che le organizzazioni interessate sono state compromesse molto prima dell’implementazione di questi programmi wiper. La loro conclusione si basa su diversi aspetti:

  • Compilazioni di timestamp di HermeticWiper PE, la più antica delle quali risale al 28 dicembre 2021

  • La data di emissione del certificato di firma del codice è il 13 aprile 2021

  • La distribuzione di HermeticWiper tramite GPO in almeno un’istanza suggerisce che gli aggressori in precedenza avevano accesso a uno dei server Active Directory di quella vittima.

Accesso iniziale

Tergicristallo ermetico

Il vettore di accesso iniziale è attualmente sconosciuto, ma i ricercatori ESET hanno notato artefatti da movimento laterale all’interno delle organizzazioni target. In un caso, il malware per l’eliminazione dei dati è stato implementato tramite il criterio di dominio predefinito (GPO), come mostrato nel suo percorso di sistema:

C: \ Windows \ system32 \ GroupPolicy \ DataStore \ 0 \ sysvol \\ Politiche \ {31B2F340-016D-11D2-945F-00C04FB984F9} \ Macchina \ cc.exe

Ciò indica che gli aggressori probabilmente hanno preso il controllo del server di Active Directory.

In altri casi, Impacket potrebbe essere stato utilizzato per distribuire HermeticWiper. Un post sul blog Symantec afferma che il wiper è stato distribuito utilizzando la seguente riga di comando:

cmd.exe / Q / c sposta CSIDL_SYSTEM_DRIVE \ temp \ sys.tmp1 CSIDL_WINDOWS \ policydefinitions \ postgresql.exe 1> \\ 127.0.0.1 \ ADMIN $ \ __ 1636727589.6007507 2> & 1

L’ultima parte corrisponde al comportamento predefinito del codice wmiexec.py di Impacket trovato su GitHub.

Infine, un worm personalizzato che ho chiamato HermeticWizard è stato utilizzato per diffondere HermeticWiper alle reti compromesse da SMB e WMI.

Isaac Wiper

Anche il vettore di accesso originale è attualmente sconosciuto. Gli aggressori potrebbero aver utilizzato strumenti come Impacket per spostarsi lateralmente. Su alcuni dispositivi ho notato anche RemCom, uno strumento di accesso remoto, implementato contemporaneamente a IsaacWiper.

conclusioni

Il rapporto ESET descrive in dettaglio un attacco informatico distruttivo che ha colpito le organizzazioni ucraine il 23 febbraio 2022 e un secondo attacco che ha colpito un’altra organizzazione ucraina dal 24 al 26 febbraio 2022. Al momento, non ci sono informazioni che altri paesi siano stati presi di mira.

Tuttavia, a causa dell’attuale crisi in Ucraina, esiste ancora il probabile rischio che gli stessi malintenzionati lancino altre campagne contro i paesi che sostengono il governo ucraino o sanzionano le entità russe.

Se ti piace questo articolo, non vediamo l’ora di entrare a far parte della community di lettori sulla nostra pagina Facebook, con un Like qui sotto:

Articolo precedenteI prezzi del grano raggiungono il livello più alto degli ultimi 14 anni. I porti ucraini restano chiusi
Articolo successivoEngie: L’interruzione delle importazioni di energia dalla Russia potrebbe influire sulla fornitura dell’Europa per il prossimo inverno