La guerra che la Russia ha scatenato contro l’Ucraina si svolge su più fronti. Il campo di battaglia, l’informazione e, da non trascurare, la cyberwarfare, la guerra informatica. SentinelOne, azienda che sviluppa soluzioni per la sicurezza informatica, ha analizzato quanto sta accadendo sul fronte cyber, e ha individuato tre tattiche utilizzate fino a oggi dagli aggressori: attacchi DDoS (Distributed Denial of Service), distruzioni di siti web e wipers dannosi. Tecniche considerate “semplici” ma, con un buon livello di esecuzione, le tre tattiche se utilizzate insieme presentano una forza destabilizzante nel limitare la disponibilità di informazioni e servizi ufficiali, sia a livello temporaneo che definitivo.
SentinelOne sta offrendo il suo supporto, condividendo ricerche, raccomandazioni e strumenti, oltre che offrendo 90 giorni di accesso gratuito alla sua piattaforma Singularity alle imprese in Ucraina.
Denial of Service
Nelle fasi iniziali di invasione, i siti governativi dell’Ucraina sono stati messi offline da attacchi DDOS. In particolare, il Ministero degli Affari Esteri, il Ministero della Difesa, il Ministero degli Affari Interni, i Servizi di Sicurezza e il Sistema finanziario dell’Ucraina hanno tutti subito un’interruzione del servizio. Il governo britannico ha attribuito gli eventi al Gru russo.
HeremeticWiper | Crippling System in Ucraina
Mercoledì 23 febbraio, mentre l’invasione fisica dell’Ucraina era in corso, i laboratori di SentinelOne hanno scoperto che le organizzazioni ucraine sono state prese di mira con un wiper soprannominato HermeticWiper in riferimento al certificato digitale utilizzato per contrassegnare il file. HermeticWiper sembra essere un’applicazione scritta ad hoc con poche funzioni standard, sfrutta il driver benigno EaseUS per accedere direttamente alle unità fisiche e ottenere informazioni sulle partizioni.
Il malware si concentra sulla corruzione dei primi 512 byte, il Master Boot Record (MBR), di ogni unità fisica. Mentre questo dovrebbe essere sufficiente per impedire a un dispositivo di avviarsi di nuovo, HermeticWiper procede a individuare e corrompere le partizioni per tutte le unità possibili. Il malware è anche in grado di distinguere tra partizioni FAT e NTFS e agire di conseguenza per causare il maggior danno, determinando un arresto del sistema e perfezionando l’effetto devastante del malware.
HermeticWiper è uno strumento “fire and forget”. Non ha alcun comando e controllo né capacità di auto-diffusione e gli aggressori hanno bisogno di ottenere l’accesso per distribuire il virus. Nei casi precedenti, gli hacker lo hanno gestito tramite GPO impostando un’attività pianificata per eseguire il wiper e il ransomware civetta. HermeticWiper è molto più completo, meglio sviluppato ed efficiente di WhisperGate, un virus distribuito in Ucraina a gennaio con una distribuzione piuttosto limitata. SentinelOne ritiene si tratti di due minacce distinte, create probabilmente da differenti programmatori.
Ransomware PartyTicket
PartyTicket è il nome che SentinelLabs ha assegnato al componente ransomware civetta degli attacchi HermeticWiper originali. Questo malware è stato analizzato mentre veniva indirizzato agli obiettivi insieme a HermeticWiper e si crede venga usato come distrazione mentre i dispositivi vengono cancellati.
Il ransomware è un’applicazione Golang personalizzata che interrompe i servizi e distrae i difensori. PartyTicket è estremamente fastidioso, generando centinaia di thread secondari, probabilmente con conseguente blocco involontario del servizio locale. Il codice personalizzato del programma è pieno di riferimenti ironici al governo degli Stati Uniti e all’amministrazione Biden.
