• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Cyberattacchi dalla Russia con HermeticWiper, l’Italia è a rischio?

Come funziona il programma data wiper HermeticWiper, che entra attraverso Active Director per cancellare dati da server e Pc.

Pubblicato il 25 febbraio 2022 da Redazione

Ai bombardamenti russi che si stanno abbattendo sull’Ucraina si è accompagnata una parallela pioggia di cyberattacchi, compiuti attraverso HermeticWiper: un malware di tipo data wiper, ovvero capace di cancellare dati dalle risorse di memoria intaccate. A qualche giorno dagli attacchi DDoS che avevano messo fuori uso siti governativi ucraini (la cui origine altrettanto governativa, russa, è tutta da dimostrare) oggi le attenzioni dei ricercatori di cybersicurezza sono tutti su questa nuova minaccia, segnalata inizialmente da Eset e da Symantec ma analizzata poi anche da altre aziende del settore.

 

I ricercatori di Eset e Symantec hanno rilevato il data wiper, identificato come Win32/KillDisk.NCV, nella giornata di mercoledì ma il timestamp fa risalire la sua compilazione a fine dicembre. Il battesimo come HermeticWiper si deve a SentinelOne, che ha osservato il nome del certificato digitale del programma, riferito all’azienda cipriota Hermetica Digital Ltd. “Finora non abbiamo visto alcun file legittimo firmato con questo certificato”, scrive SentinelOne. “È possibile che gli attaccanti abbiano usato una società di comodo o si siano appropriati di un’azienda non più in attività per emettere il certificato digitale”. Il programma sfrutta un software legittimo per la creazione di partizioni sul disco fisso, cioè EaseUS Partition Master, per corrompere i dati presenti sulla risorsa hardware. 


Come funziona HermeticWiper
Il wiper si insinua nel sistema bersaglio attraverso identità compromesse, che permettono di attaccare direttamente una risorsa o fungono da base di appoggio per spostarsi poi lateralmente. Non pare, dunque, sfruttare vulnerabilità lungo la catena di approvvigionamento, come fatto invece dagli attacchi di supply chain che hanno punteggiato gli ultimi anni.

 

“Come riportato in un caso, il ransomware si è distribuito utilizzando la policy di gruppo di Active-Directory, il che significa che gli attaccanti avevano accesso privilegiato ad AD”, spiega Lavi Lazarovitz, head of security research dei CyberArk Labs. “Questo scenario è più comunemente usato in azioni mirate e gestite da persone (come nel caso di Kaseya). È importante notare che il wiper sfrutta privilegi elevati sull'host compromesso per renderlo ‘non avviabile’, sovrascrivendo i record di avvio e le configurazioni, cancellare le configurazioni dei dispositivi ed eliminare le copie shadow (backup). Sembra che il wiper sia configurato per non crittografare i controller di dominio, cioè per mantenere il dominio in funzione e permettere al ransomware di utilizzare credenziali valide per autenticarsi ai server e crittografarli. Questo evidenzia ulteriormente che gli attori della minaccia utilizzano identità compromesse per accedere alla rete e/o muoversi lateralmente”.

 

 

Un rischio anche per l’Italia?

Per ora l’attacco ha colpito migliaia di  server, Pc e altri sistemi informatici sul territorio ucraino, ma gli addetti ai lavori segnalano che potrebbe estendersi ad altre aree geografiche. “Il malware per sua natura non conosce confini e ci aspettiamo che la presenza di HermeticWiper sia presto rilevata anche in Europa occidentale, e di conseguenza anche in Italia. Gli specialisti di sicurezza stanno monitorando la situazione con attenzione e prendendo le prime contromisure” spiega il Cyber Security Team di Axitea. D’altra parte casi degli anni scorsi, come quello dei ransomware Wannacry e NotPetya, dimostrano la facilità con cui attacchi particolarmente sofisticati possano diffondersi a livello globale.

Anche l’Agenzia per la Cybersicurezza Nazionale non esclude la possibilità di un allargamento all’Italia. “Sebbene al momento non vi siano indicatori in tal senso, si evidenzia il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative)”, scrive il Computer Security Response Team dell’agenzia, elencando poi una serie di raccomandazioni su come proteggersi dal pericolo di HermeticWiper.

 

Tag: malware, cybercrimine, russia, HermeticWiper, wiper

MALWARE

  • Il malware più diffuso nel 2023 è un trojan che ha 15 anni
  • Cresce il debito informatico nelle aziende e ne risente la sicurezza
  • ChatGpt può diventare il copilota degli esperti di sicurezza
  • Dalle acquisizioni ai prodotti, l’espansione di Crowdstrike
  • Malware “commodity” e ransomware, due pericoli coesistenti

NEWS

  • 28 miliardi di dollari per Splunk, riecco la Cisco razziatrice
  • AI generativa e Llm entrano nella piattaforma di ServiceNow
  • Il ruolo di field Ciso Emea di Rubrik va a Richard Cassidy
  • Con Dall-E 3, le immagini sintetiche si creano in ChatGPT
  • L’intelligenza artificiale nell’edge è anche in forma di servizio
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Calcolo quantistico, crescono le competenze ma le startup rallentano
Explore 2023 mostra una VMware indipendente e omnitecnologica
Per Ibm il “tempo” è cambiato, addio alle previsioni meteo
Ransomware, impennata di attacchi verso le aziende europee
Google potenzia controlli Zero Trust e crittografia in Workspace
Tecnologie per le reti cellulari, mercato in calo ma Huawei regge
Nvidia festeggia i risultati record nella “nuova era del computing”
Oracle Compute Cloud@Customer si adatta ai piccoli progetti
Suse, un delisting per (ri)provare ad attaccare Red Hat
Data center più flessibili con il flash "distribuito" Western Digital
Reti SD-Wan più facili e accessibili con i servizi di Fortinet
I dispositivi rugged alleati nella ricerca di persone scomparse
Cisco e Nutanix insieme per un cloud ibrido più semplice
Google rilancia sull’AI, tra servizi cloud, strumenti e assistenti virtuali
Reti mobili, Huawei ed Ericsson si accordano sui brevetti
Kyndryl sceglie le tecnologie Cisco per nuovi servizi di cybersecurity
Confartigianato: l’AI impatta su 8,4 milioni di lavoratori in Italia
Il public cloud traina il mercato e farà il botto entro il 2027
Vendite sotto ai livelli del 2022 ma in chiara ripresa per Dell
Meta presenta Code Llama, l’AI generativa per i programmatori
28 miliardi di dollari per Splunk, riecco la Cisco razziatrice
AI generativa e Llm entrano nella piattaforma di ServiceNow
Il ruolo di field Ciso Emea di Rubrik va a Richard Cassidy
Con Dall-E 3, le immagini sintetiche si creano in ChatGPT
L’intelligenza artificiale nell’edge è anche in forma di servizio
Analytics alternativi a Google: Piwik Pro presenta l’offerta
Infinidat raddoppia la capacità e porta l’all-flash negli array ibridi
FinOps, cresce la richieste di competenze per gestire i costi del cloud
Con Bionic, CrowdStrike unifica la protezione del cloud
Semiconduttori, il piano di battaglia di Intel e le contromosse cinesi
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968