HermeticWiper, il malware che arriva con i venti di guerra

HermeticWiper è il malware utilizzato per attaccare server, PC o sistemi informatici sul territorio ucraino, ma con ogni probabilità non resterà confinato a quell’area geografica

Le aziende di sicurezza ESET e Symantec hanno scoperto un nuovo data wipe malware (un malware che cancella inesorabilmente tutti i dati contenuti nelle memorie di massa) poi denominato HermeticWiper utilizzato per attaccare migliaia di sistemi informatici situati sul territorio ucraino. L’attacco è avvenuto in concomitanza dell’operazione militare su larga scala operata dalla Russia.

A seguito di analisi sul malware le aziende hanno identificato come il file binario del wiper è firmato utilizzando un certificato di firma del codice rilasciato a Hermetica Digital Ltd. Il wiper abusa dei driver legittimi del software EaseUS Partition Master per corrompere i dati.

“Il malware per sua natura non conosce confini e ci aspettiamo che la presenza di HermeticWiper sia presto rilevata anche in Europa occidentale, e di conseguenza anche in Italia. Gli specialisti di sicurezza stanno monitorando la situazione con attenzione e prendendo le prime contromisure” spiega il SOC team di Axitea.

Il CSIRT italiano ha divulgato un articolo informativo proprio legato a questa minaccia. Gli IOC rappresentano le “impronte digitali” che permetteranno ai Security Operation Center, come quello di Axitea, di individuare l’attacco prima che si trasformi in incidente e quindi di attivare azioni preventive.

Questi i consigli del CSIRT italiano relativi agli attacchi provenienti dalla Russia: https://bit.ly/3M1xp9B 

Come si muovono queste tipologie di minaccia?

La matrice seguente illustra le modalità per poter proteggere i punti deboli dell’infrastruttura e come poter rilevare la compromissione:

Aziende e fornitori di sicurezza: cosa possono fare?

I fornitori di sicurezza gestita stanno già aggiornando le definizioni malware a includere questo nuovo malware, apparso all’improvviso e per questo ancora più pericoloso, in ottica presente ma soprattutto futura.

Secondo il SOC team di Axitea, le aziende devono assicurarsi di avere tutti i sistemi aggiornati, sia quelli specifici di sicurezza che quelli più generalmente operativi. La parola d’ordine in questo caso è prudenza, abbinata ad attenzione. Ancor più cautela del solito nelle operazioni quotidiane, come l’apertura di messaggi email e il download di documenti. Come sempre, affidarsi a un partner specializzato nella fornitura di servizi di sicurezza gestita rappresenta la soluzione più affidabile e sicura, proprio per il continuo monitoraggio delle minacce abbinato a un altrettanto continuo aggiornamento delle contromisure.