Virus Russo Hermetic Wiper: ALERT immediato anche in Italia!

La Russia ha attaccato l’Ucraina e il mondo intero è contrario a questa offensiva. La Nato ha risposto all’unanimità e l’Europa stava per annunciare un pacchetto di sanzioni (che doveva essere molto severo), con Italia, Germania e Francia protagoniste. Se Macron, nel suo nome attuale per conto delle autorità europee, sta cercando di mantenere i colloqui con la Russia, il governo italiano ha finora lavorato dietro le quinte, cercando prima la diplomazia e poi stimolando sanzioni. Mario Draghi ha chiarito alla Camera dei Deputati quanto stava accadendo: Gli equilibri del dopoguerra, a cui siamo abituati a spiegare il mondo e gli equilibri di potere negli ultimi 70 anni, sono cambiati rapidamente. D’ora in poi, inizia una scena completamente nuova.

Insomma, c’è un messaggio tra le righe che non può essere ignorato: l’Italia è inevitabilmente al centro di questo repentino cambio di visione internazionale, pienamente allineata con le forze Nato.

L’offensiva di Putin non si è fermata con azioni militari e attacchi missilistici. Sembra che sia iniziata una vera e propria guerra informatica, in preparazione da tempo, contro le infrastrutture energetiche, le banche e le reti governative dell’Ucraina.

L’inizio della guerra informatica

Le informazioni di allerta emesse oggi dal CSIRT devono essere viste in questo contesto. Essendo uno dei potenziali obiettivi degli attacchi informatici della Russia, l’Italia ha la responsabilità di migliorare immediatamente le proprie difese e ognuno deve fare la propria parte.

 DIFESA ALTA – MASSIMI CONTROLLI INTERNI

🔗 https://t.co/57eGuFTVs6

⚠️ Disponibili urgenti IoC relativi al “wiper” distribuito in Ucraina ⚠️ pic.twitter.com/yfiHYOZzAC

— CSIRT Italia (@csirt_it) February 24, 2022

Partiamo da quello che sappiamo: in Ucraina (e nelle Repubbliche baltiche) è stato scoperto un nuovo malware chiamato HermeticWiper, che potrebbe essere utilizzato anche nel nostro Paese. Quindi abbiamo bisogno di uno screening immediato per proteggere la nostra infrastruttura.

Interpretare l’avviso in base alle nuove prove di Symantec (maggiori dettagli su questo link): Si allegano ulteriori indicatori di compromissione pubblicati dalla società di sicurezza Symantec e indicatori comportamentali (non malevoli). In merito a questi ultimi indicatori, si evidenzia che HermeticWiper, per effettuare l’operazione di data wiping, utilizza disk driver legittimi di EaseUS Partition Manager, un software lecito di gestione dei dischi. Tali driver sono presenti in forma compressa all’interno delle risorse del malware stesso, e dopo essere stati estratti e decompressi, sono rilasciati sul disco con estensione “.sys”.

Il worm, “le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento sistema operativo in esecuzione“, ha finalità distruttive e la sua eventuale presenza nel nostro Paese sarebbe, oltre che deleterio, anche prodromica di una minaccia latente ben più seria di ordine geopolitico.

Il Virus:

Non sono in gioco solo dati personali e interessi finanziari. Alla luce di tutto ciò, la cybersecurity non è più solo un importante problema privato e aziendale, ma fondamentalmente un problema di sicurezza nazionale.

Elusione di sanzioni e responsabilità

A differenza della guerra fisica con bombe e missili, il cyberspazio rende più facile eludere le responsabilità ed evitare sanzioni. In effetti, gli attacchi informatici vengono spesso lanciati da luoghi e host sconosciuti e il percorso per risalire alla fonte non è sempre lineare.

Hermetic Wiper, un attacco DoS che distrugge i dati e rende i sistemi inutilizzabili

Hermetic Wiper è un sofisticato malware in grado di eliminare tutti i dati su un sistema infetto interrompendone l’attività. Ciò che lo rende particolarmente pericoloso è che una volta eliminato, il file non può essere recuperato. Pertanto, lo scopo di Hermetic Wiper non è rubare informazioni, ma solo distruggerle. Il data wiper “KillDisk” creato il 28 dicembre 2021 si chiama HermeticWiper perché la firma nel codice si riferisce alla società Hermetic Digital ltd.

Una serie di attacchi informatici russi dal 2015

Una serie di attacchi DDoS contro banche e organizzazioni governative stanno destabilizzando l’Ucraina e sembrano essere saliti alle stelle nelle ultime settimane. Il malware WhisperGate, un wiper utilizzato per attaccare i siti Web del governo ucraino, è stato monitorato da gennaio di quest’anno e presenta forti somiglianze con il ransomware NotPetya, che non prende di mira solo i dipartimenti del governo ucraino, le banche e le società elettriche, causando danni per milioni di dollari e colpendo gli ospedali. e le strutture mediche statunitensi fino a quando non si diffonderà a livello globale. A febbraio, una serie di falsi messaggi di testo ha avvertito gli ucraini che i bancomat erano offline, provocando panico tra i residenti e lunghe code per evacuare.

La guerra informatica non è una novità per la Russia, che già nel 2015 utilizzava il malware BlackEnergy 3 – creato negli anni 2000 da un hacker noto come Cr4sh – per accedere alle reti elettriche e riuscire ad infiltrarsi nei sistemi ICS e SCADA. Ucraina. Per questo motivo, il malware CrashOverride ha compromesso con successo l’operatore Ukrenergo nel 2016, provocando un’interruzione di corrente nella regione di Ivano-Frankivsk e lasciando 700.000 case senza elettricità per ore.

Runet e rubli digitali nel progetto di autonomia russa

La volontà della Russia di creare una rete internet autonoma, la cosiddetta Runet, è accennata in questo panorama, il più indipendente possibile dall’Occidente. L’obiettivo principale è censurare e controllare i contenuti pubblicati sul web e resistere agli oppositori politici. Infatti, l’ambiente online “occidentale” è stato condannato, ad esempio, per aver dato spazio al principale oppositore di Putin, Alexei Navalny, il cui ultimo discorso su YouTube è stato ascoltato più di 120 milioni di volte. Sempre sotto la guida della Corea del Nord e dell’Iran, la Russia mira a sviluppare la propria valuta digitale della banca centrale, un rublo digitale che può essere utilizzato per transazioni tutt’altro che trasparenti per consentire ai paesi stranieri di commerciare con la Russia senza essere scoperti dal vivo.

Pertanto, il Cremlino potrebbe aggirare qualsiasi sanzione relativa all’attacco all’Ucraina ottenendo fondi nascosti da altri paesi. Ad aiutarlo a spostare fondi c’è Hydra, il mercato più grande e attivo del dark web, dove avviene la maggior parte delle transazioni illecite di criptovalute.

Geopolitica del cyberspazio

Nell’era cibernetica, data la crescente militarizzazione del cyberspazio, l’attuazione di una politica internazionale per gestire le dinamiche di potere è fondamentale. Le difese informatiche devono essere costruite contro attacchi asimmetrici che possono interrompere le reti di comunicazione e le infrastrutture nazionali critiche, mettendo in ginocchio intere nazioni. In questo caso è anche importante costruire una rete di sicurezza per l’azienda e verificare che i piani di emergenza siano aggiornati e adeguati per difendersi dagli attacchi informatici.

In conclusione consiglio di proteggere i vostri Device con un Antivirus (se già non ne avete uno).

Azioni di mitigazione

Il documento indicato suggerisce un doppio ordine di azioni:

  • Misure organizzative/procedurali
    • Verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business.
    • Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine.
    • Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B)
    • Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business).
    • Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto.
    • Incremento delle attività di monitoraggio e logging.
    • Aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte.
    • Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT).
    • Designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale.
    • Assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti.
    • Esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici.
    • Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud.
    • Incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia.
  • Misure tecniche
    • Prioritizzazione delle attività di patching dei sistemi internet-facing.
    • Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse.
    • Monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale.
    • Monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie.
    • Ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller.
    • Monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione.
    • Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR.
    • Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell).
    • Assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online).

Lascia un commento

Elemento aggiunto al carrello.
0 items - 0,00