Ucraina: nuovi cyberattacchi contro aziende e reti

ESET ha rilevato un attacco informatico effettuato con IsaacWiper contro organizzazioni ucraine, mentre Proofpoint ha scoperto tentativi di phishing.

Continuano gli attacchi informativi contro aziende e rei governative dell’Ucraina. Gli esperti di ESET ha scoperto un malware “distruttivo” simile ad HermeticWiper, denominato IsaacWiper. Proofpoint ha invece individuato un attacco phishing contro il personale governativo europeo che fornisce supporto logistico ai rifugiati. Rilevati infine tentativi di truffe ai danni di utenti che donano criptovalute.

Wiper, phishing e scam

Il primo attacco distruttivo è stato eseguito con HermeticWiper, rendendo inutilizzabili centinaia di computer di almeno cinque organizzazioni ucraine. Per diffondere il wiper nelle reti aziendali (tramite SMB e WMI) è stato utilizzato il worm HermeticWizard. Il terzo componente è HermeticRansom, un ransomware sfruttato per cifrare i file e chiedere un riscatto. Un altro attacco distruttivo è staso effettuato con IsaacWiper. ESET non ha identificato gli autori, ma non sembrano esserci correlazioni con HermeticWiper (quindi si tratta di cybercriminali appartenenti a gruppi distinti). La funzionalità è tuttavia identica: rendere inaccessibili i file su disco. Gli esperti di Proofpoint hanno invece scoperto una campagna di spear phishing contro il personale governativo europeo che fornisce supporto logistico ai rifugiati. Le email, che sembrano provenire da membri delle forze armate ucraine, contengono in allegato una macro che nasconde il malware SunSeed, un downloader usato per scaricare altri malware da server remoti. Non potevano infine mancare i truffatori che tentano di approfittare dell’occasione per rubare denaro alle ignare vittime. Il governo ucraino ha raccolto oltre 37 milioni di dollari in criptovalute. Qualcuno cerca di ingannare gli utenti con email, siti web e post sui forum che sembrano provenire dal movimento “Help Ukraine”. Si tratta invece di una truffa perché le donazioni finiscono nelle tasche dei cybercriminali.

Sicurezza Malware e virus Cyberwar

Symantec ha pubblicato un aggiornamento sull'attacco wiper effettuato contro l'Ucraina, evidenziando l'uso di un ransomware come esca o diversivo. Symantec ha fornito maggiori dettagli sull’attacco informatico contro l’Ucraina che ha preceduto l’invasione da parte della Russia. La software house ha scoperto che un ransomware è stato sfruttato come esca o diversivo per gli attacchi effettuati con HermeticWiper.

Cyberattacco combinato contro l’Ucraina

Un primo attacco distruttivo contro varie organizzazioni ucraine era stato effettuato con il malware WhisperGate circa un mese fa. Quello di ieri è stato eseguito con HermeticWiper (o Trojan.Killdisk) contro diverse aziende che operano nei settori IT, finanza, aviazione e difesa. I cybercriminali hanno sfruttato una vulnerabilità di Microsoft Exchange Server per rubare le credenziali, installare una web shell e quindi distribuire il wiper. È stata colpita anche un’azienda lituana, ma in questo caso gli autori dell’attacco hanno sfruttato un bug di Tomcat. Symantec ha scoperto che, quasi contemporaneamente al wiper, sui computer delle aziende ucraine è stato copiato un ransomware. Ovviamente i file sono stati cifrati e sullo schermo è apparso il tradizionale messaggio che indica gli indirizzi email da contattare per ricevere il decryptor. Non viene specificato però l’entità del riscatto (quasi certamente verrà comunicato successivamente). I prodotti di Symantec per le aziende rilevano e bloccano HermeticWiper, ma altri attacchi potrebbero essere effettuati nelle prossime ore. Al momento non sono noti gli autori degli attacchi. Gli Stati Uniti e il Regno Unito hanno invece attribuito l’attacco DDoS della scorsa settimana al GRU (Direttorato principale per l’intelligence della federazione russa). È quindi molto probabile che gli autori siano gli stessi.

aziende