Si chiama Hermetic Wiper l’ultima minaccia cyber scovata dagli esperti informatici. È un nuovo malware individuato il 23 febbraio in Ucraina e che, a quanto pare, fa parte dell’attacco della Russia contro Kiev. Si tratta di un data wiper malware, particolare categoria di virus utilizzato con il solo obiettivo di cancellare i dati presenti sui computer infettati, mettendoli fuori uso.
Questo tipo di malware si ispira al data wiping, operazione di cancellazione dei dati di una memoria informatica, eseguita in aggiunta alla formattazione standard. La formattazione, infatti, non cancella definitivamente i dati sul dispositivo, ma semplicemente prepara la memoria alla sovrascrittura degli stessi. Finché i vecchi dati non vengono sovrascritti sono sempre recuperabili con dei software di data recovery. Per cancellare definitivamente i dati è necessario ricorrere a programmi di data wiping, che eseguono un’operazione di sovrascrittura totale con dati nulli.
Come funziona Hermetic Wiper, il malware che ha colpito l’Ucraina
Nel caso di Hermetic Wiper, l’operazione di data wiping distrugge i dati sul dispositivo attaccato rendendoli irrecuperabili, minando il corretto funzionamento del sistema operativo. Per corrompere i dati in memoria il virus sfrutta abusivamente i driver di un normale software per la gestione delle partizioni del disco. I driver si trovano in forma compressa nelle risorse del malware stesso e, una volta estratti e decompressi, sono rilasciati sul disco.
Secondo gli esperti di ESET e Symantec, che per primi lo hanno individuato, Hermetic Wiper era stato creato già il 28 dicembre del 2021, per poi infettare centinaia di computer ucraini il giorno prima dell’attacco militare della Russia.
A battezzare il nuovo malware sono stati, invece, i tecnici di SentinelLABS, che hanno verificato che il campione del malware analizzato è stato firmato con un certificato digitale valido da aprile 2021 ed emesso dalla società cipriota Hermetica Digital Ltd, ritenuta dagli esperti una società di comodo o defunta. Infatti, come già spiegato in passato in un articolo scritto per noi da Pierluigi Paganini (tra i massimi esperti mondiali di cybersicurezza), “la pratica di firmare digitalmente un codice malevolo è estremamente diffusa, ciò consente al malintenzionato di far eseguire un malware su una macchina, aumentando le possibilità di elusione dei sistemi di difesa”.
Allarme cybersicurezza in Italia
L’Agenzia per la Cybersicurezza Nazionale, tramite il CSIRT Italia, team che monitora e gestisce le minacce cibernetiche per il Paese, ha lanciato un allarme per i rischi informatici derivanti per l’Italia dal malware Hermetic Wiper.
Il gruppo di esperti ha evidenziato “il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento a enti, organizzazioni e aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative)”.
In aggiunta alle normali pratiche di cybersicurezza, il CSIRT ha stilato una serie di azioni di mitigazione per ridurre al minimo il rischio che l’attacco informatico subìto dall’Ucraina si estenda anche all’Italia.
Di un possibile cyberattacco ai danni dell’Italia ha parlato anche Franco Gabrielli, Autorità delegata per la sicurezza della Repubblica. Lo ha fatto nelle audizioni al Copasir (Comitato Parlamentare Sicurezza della Repubblica) e al CISR (Comitato Interministeriale Sicurezza della Repubblica).
Hermetic Wiper, cosa fare per mettere al sicuro il proprio Pc
Per ridurre al minimo i rischi di un attacco informatico il CSIRT indica due gruppi di azioni.
Il primo gruppo prevede misure organizzative e procedurali, tra cui:
- verifica della disponibilità offline dei backup per il ripristino delle attività di core business;
- identificazione dei flussi informativi e delle componenti direttamente connesse con partner ucraini;
- applicazione del principio del privilegio minimo per i sistemi con relazioni di trust e accesso da remoto;
- designazione di un team per la gestione di eventuali crisi informatiche;
- esercitazione di tutto il personale nella risposta a incidenti informatici.
Un secondo gruppo è composto da azioni concrete, tra cui:
- prioritizzazione delle attività di patching dei sistemi internet-facing;
- verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse;
- monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale;
- richiesta dell’autenticazione a più fattori per tutti gli accessi remoti, in particolare per servizi VPN, extranet aziendali e posta elettronica.
