Secondo l’ACN risulta essere stato distribuito un malware di tipo “wiper”, denominato HermeticWiper (alias KillDisk.NCV). Implementare urgentemente gli indicatori di compromissione disponibili
Inizia la guerra in Ucraina, che ormai si fa sempre più ibrida
All’alba di oggi le truppe russe hanno iniziato l’invasione dell’Ucraina. Dopo il discorso di Vladimir Putin alla nazione (minacciando pesantemente chiunque provi ad ostacolare l’operazione militare definita “speciale”), i primi missili partiti hanno colpito diverse città ucraine e i primi mezzi corazzati invadevano il Paese dal Donbass, dalla Crimea e dalla Bielorussia.
Più o meno nelle stesse ore, in un’altra dimensione della realtà, sull’Ucraina si abbatteva un esteso cyber attacco che ha messo fuori uso tutti i network online di Governo, Parlamento e diversi ministeri chiave, come la Difesa e i Trasporti.
Per aiutare Kiev, l’Unione europea ha anche attivato per la prima volta il Cyber Rapid Response Team per preparare la difesa cibernetica del Paese.
La bomba Wiper
In particolare, secondo diverse testate specializzate e le principali società di sicurezza informatica, si teme che sia in azione, tutt’ora, un malware molto pericoloso e molto insidioso chiamato HermeticWiper.
Tracce del potente malware sono state rilevate in molti computer e dispositivi di connessione in diverse città ucraine.
Si tratta di un codice distruttivo, che una volta eseguito ha come obiettivo la cancellazione di interi file di dati, fino a rendere la macchina che li ospitava del tutto o quasi non utilizzabile.
A quanto pare il malware sfrutta un certificato di riconoscimento che lo fa riconoscere come legittimo dal sistema sotto attacco, riuscendo quindi ad eludere ogni difesa o blocchi preventivi.
Non parliamo quindi di un’azione tesa a raccogliere e sottrarre in ogni modo dati sensibili o strategici, ma di colpire per distruggere, come si fa in guerra.
Attacchi DDoS
E in guerra si usano anche armi meno potenti, ma ugualmente distruttive, come il tradizionale sistema di attacco DDoS, o Distributed Denial of Service, che ha lo scopo di interrompere un servizio o il funzionamento di un dispositivo tramite un sovraccarico di traffico indirizzato tutto verso un server.
Attacchi DDoS sono in corso in Ucraina da giorni, anche in questo momento, con il blocco più o meno totale di siti web del Governo, dell’esercito, del Parlamento, dei ministeri della Difesa e dei Trasporti, più molte altre agenzie governative e imprese che lavorano per il Governo di Kiev.
Un modo per ostacolare l’organizzazione della controffensiva ucraina e per rendere difficile la comunicazione d’urgenza tra Governo e cittadinanza, sia per aiutare chi per fuggire dalle bombe si sta spostando verso le regioni occidentali, sia per richiamare i riservisti e quindi seguire le operazioni sul campo dei propri militari.
L’ACN: implementare nuovi importanti ed urgenti IoC
Con riferimento a quanto recentemente pubblicato da questo CSIRT, si legge in una nota dell’Agenzia per la Cybersicurezza Nazionale, in merito ai “[…] possibili rischi cyber derivanti dalla situazione ucraina”, risulta essere stato distribuito un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento sistema operativo in esecuzione.
Ove non già provveduto e in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza, si raccomanda, spiega in comunicato l’Agenzia, di implementare urgentemente gli indicatori di compromissione disponibili in allegato e di elevare il livello di attenzione adottando in via prioritaria, le azioni di mitigazione elencate nella precedente pubblicazione di questo CSIRT.