ESET, azienda specialiozzata i cybersecurity, sta ricostruendo le campagne offensive verso le organizzazioni ucraine messe in atto in questo ultimo periodo. Mentre l’invasione russa prendeva il via, i ricercatori hanno scoperto due nuove famiglie di malware wiper che aggrediscono le organizzazioni ucraine. Il primo cyberattacco è iniziato poche ore prima dell’invasione militare russa e dopo gli attacchi DDoS (distributed denial-of-service) contro i principali siti web ucraini all’inizio della giornata dello scorso 23 febbraio.
Questi attacchi distruttivi hanno sfruttato almeno tre componenti: HermeticWiper per la cancellazione dei dati, HermeticWizard per la diffusione sulla rete locale, e HermeticRansom che agisce come ransomware esca. Gli artefatti del malware suggeriscono che gli attacchi erano stati pianificati per diversi mesi.
ll 24 febbraio è iniziato un secondo attacco distruttivo contro una rete governativa ucraina, tramite un wiper che è stato denominato “IsaacWiper”.
I ricercatori ritengono altamente probabile che le organizzazioni colpite siano state compromesse ben prima della distribuzione del wiper. “Questa convinzione si basa su diversi elementi: i primi timestamp di compilazione di HermeticWiper PE, risalgono al 28 dicembre 2021; la data di emissione del certificato di firma del codice al 13 aprile 2021; e la distribuzione di HermeticWiper attraverso la policy di dominio predefinita, in almeno un caso, suggerisce che gli attaccanti avevano accesso a uno dei server Active Directory della vittima”, spiega Jean-Ian Boutin, ESET Head of Threat Research.
IsaacWiper è stato rilevato nella telemetria di ESET il 24 febbraio. Il più vecchio timestamp di compilazione PE era del 19 ottobre 2021, il che significa che se il suo timestamp di compilazione PE non è stato manomesso, IsaacWiper potrebbe essere stato utilizzato in operazioni precedenti già mesi prima.
Fonte: macitynet.it