Hermetic Wiper: analisi del malware che ha colpito l'Ucraina
Durante l’ultimo mese si è spesso sentito parlare di Hermetic Wiper, il malware utilizzato in azioni contro agenzie governative e banche ucraine. Con l’iniziale obiettivo di colpire solo il già citato Paese, si è poi diffuso in occidente, colpendo sempre più stati.
L’origine del malware sembra essere strettamente connessa al conflitto in corso: infatti, il ransomware di tipo Data Wiper è stato distribuito a partire dal 23 febbraio 2022. In questo articolo il nostro obiettivo è quello di analizzare il malware da un punto di vista tecnico.
Come funziona
Il suo funzionamento è pensato per distruggere i dati del sistema in maniera tale da renderne impossibile il futuro recupero, minando anche il funzionamento del sistema operativo. L’infezione porterà quindi al blocco completo del PC.
Hermetic Wiper sfrutta i driver di un software completamente lecito di gestione dei dischi (EaseUS Partition Manager), che sono integrati nel suo codice. Di seguito il video per vederlo in azione:
Hermetic Wiper in una prima fase frammenta e poi sovrascrive vari settori di disco con dati casuali, tra cui i settori del Master Boot Record (MBR), responsabili dell’avvio del sistema. La frammentazione rende ancora più difficoltosi eventuali tentativi di recupero dei dati presenti sul disco. Con il procedere della sovrascrittura alcune DLL verranno rese inservibili e con esse smetteranno di funzionare i processi che ne fanno uso. Ad un certo punto questo provocherà un errore non risolvibile in RAM che, a sua volta, causerà il Blue Screen visibile nella parte conclusiva del video. Dopo l’errore è chiaramente visibile un tentativo di riavvio, che però non andrà mai a buon fine, avendo il malware reso inservibili sia il MBR che il sistema operativo.
È comunque possibile evitare il malware tramite i software antivirus aggiornati; basterà dunque una scansione regolare dei file scaricati sul computer per accertarsi che non siano infetti. Sistemi validi di EDR/XDR sono inoltre capaci di identificare e bloccare i comportamenti tipici di questo strumento, anche qualora si venisse infettati da una versione del malware ancora mancante nei database antivirus.
Il CSIRT italiano, nella pagina ufficiale, riporta quelli che sono i consigli principali per proteggersi dagli attacchi in questione.
In futuro
Secondo gli esperti che per primi hanno individuato il malware, si hanno notizie di Hermetic Wiper già dal 28 dicembre 2021, ma solo successivamente è stato usato per infettare centinaia di computer ucraini il giorno prima dell’attacco militare sferrato dalla Russia.
Inizialmente si pensava che i possibili impatti collaterali a carico di infrastrutture ICT di enti, organizzazioni e aziende che avessero rapporti con soggetti ucraini potessero pesare significativamente; in realtà, soprattutto per quanto concerne il nostro Paese, non sono ancora stati riscontrati attacchi informatici rilevanti in cui è stato sfruttato questo malware.
Lo stesso CERT dell’Agenzia per l’Italia Digitale ha rilevato nel nostro Paese 58 campagne malevole durante il periodo considerato, 48 delle quali con obiettivi italiani e 10 generiche che hanno comunque interessato l’Italia. Questo dato rimane in linea con i riepiloghi settimanali precedenti, nonostante i tumulti che stanno avvenendo a livello internazionale.
Bisognerà comunque prestare attenzione ai futuri svolgimenti non solo mettendo in atto una serie di misure preventive ed organizzative, ma anche attraverso azioni più concrete quali il monitoraggio di account di servizio per rilevare attività anomale, la richiesta di autenticazione a più fattori – in particolare per servizi VPN – e la priorizzazione delle attività di patching.
Se hai subito un attacco informatico puoi contattarci a sos@cybergon.com, il nostro team di specialisti opera in modalità 24x7.