Cyberattacco all’Ucraina forse opera di un “finto ransomware”

Dell’attacco hacker ai siti governativi dell'Ucraina c’è probabilmente la Russia: questa è l’opinione di molti, a cominciare dalla Casa Bianca e dal Congresso statunitense. E la commistione tra guerra cybernetica, politica e pericoli materiali non è mai stata così forte. Fonti confidenziali della Cnn sostengono che la Casa Bianca avrebbe le prove di un coinvolgimento di un gruppo hacker russo, capace non solo di sferrare attacchi informatici ma anche addestrato all’utilizzo di esplosivi per azioni di sabotaggio. 

L’assalto informatico di venerdì scorso ha messo fuori uso una settantina di siti governativi, inclusi quelli del ministero degli Esteri e del ministero dell’Istruzione e della scienza. Non è mancato un atto di defacing: gli autori hanno anche pubblicato sui siti compromessi messaggi di minaccia, in cui si dichiarava (in lingua russa, in ucraino e polacco) che tutti i dati personali dei cittadini erano stati violati e resi pubblici. Le forze dell’ordine ucraine hanno parlato di un attacco “enorme”, probabilmente opera di gruppi hacker associati ai servizi segreti russi, nel quale però nessun dato personale sarebbe stato divulgato.

Sull’origine dell’operazione non sembrano esserci molti dubbi, almeno nel mondo occidentale, ma sul come sia stata realizzata le informazioni scarseggiano. Indizi importanti giungono da Microsoft, che ha fatto sapere di aver scoperto attività di un “finto ransomware”, per così dire, forse collegato agli attacchi ai siti ucraini. Rilevato dal  Microsoft Threat Intelligence Center lo scorso 14 gennaio, questo malware è “progettato in modo da assomigliare a un ransomware, ma è privo dei meccanismi di recovery associati al riscatto”. Il suo scopo è quello di “essere distruttivo, e progettato per rendere non funzionanti i sistemi bersaglio, anziché per ottenere un riscatto”. 

Il programma si installa tramite Impacket e sovrascrive il Master Boot Record, inviando una richiesta di riscatto di 10.000 dollari in Bitcoin. Ma tale richiesta non sarebbe altro che un trucchetto. Il modo in cui il malware agisce, sovrascrivendo, spostando e rinominando i file in base a un dato metodo, suggerisce che non si tratta di un ransomware. Anche il fatto che la richiesta di pagamento sia standardizzata, anziché personalizzata sulla specifica vittima, desta sospetti.

Non ci sono prove dell’uso di questo programma negli attacchi della settimana scorsa, ma un legittimo sospetto potrebbe sorgere. Microsoft ha trovato tracce di questa infezione in “dozzine di sistemi e il numero potrebbe crescere andando avanti con l’indagine. Questi sistemi abbracciano numerose organizzazioni governative, no-profit e aziende informatiche, tutte basate in Ucraina”. Non è possibile escludere, tuttavia, che siano state colpite altre organizzazioni di differente nazionalità.