Secondo Qualys il governo dell’Ucraina è preso di mira da HermeticWiper, un nuovo ransomware di tipo Data wiper probabilmente connesso all’inizio della guerra. Il wiper-ware è stato distribuito a partire dal 23 febbraio 2022, giorno precedente all’aggressione della Russia all’Ucraina. L’obiettivo principale di HermeticWiper è distruggere il master boot record (MBR) di un sistema, frantumando i dati e rendendo il sistema inutilizzabile.
Nuovo ransomware HermeticWiper
Sulla base di vari report d’intelligence, il wiper-ware è infatti preceduto da exploit che aiutano nella distribuzione di malware. Oppure da più attacchi denial-of-service distribuiti per arrestare i servizi di protezione. Osservati attacchi contro centinaia di siti web ucraini relativi al governo locale e scoperto poche ore prima che le truppe russe entrassero in Ucraina, l’attacco informatico è ampiamente attestato come la prima mossa dell’invasione da parte di Mosca. L’attività di HermeticWiper riscontrata sia in Lettonia che in Lituania.
Dettagli eseguibili portatili di HermeticWiper
Il team Qualys
Il file che abbiamo analizzato ha un timestamp di ‘2021-12-28’. Questo wiper-ware ha preso questo nome perché gli aggressori hanno utilizzato un certificato di firma del codice rilasciato a ‘Hermetica Digital Ltd’. Ciò risale a una piccola azienda di progettazione di videogiochi con sede a Cipro senza legami con la Russia. Essa afferma di non aver mai richiesto un certificato digitale, indicando un possibile furto di identità.
Cosa utilizzaHermeticWiper per colpire
I sistemi operativi utilizzano il code-signing come controllo iniziale sul software. Si ritiene quindi che possa essere stato progettato per aiutare il programma non autorizzato a bypassare le protezioni antivirus.
