Il Computer Security Incident Response Team Italia, con riferimento a quanto recentemente pubblicato in merito ai possibili rischi cyber derivanti dalla situazione ucraina, ha divulgato quanto ricercatori di sicurezza hanno rilevato circa la distribuzione di ulteriori malware ai danni delle organizzazioni ucraine.

Nel dettaglio si tratta di:

  • IsaacWiper, malware di tipo “wiper”;
  • HermeticWizard, malware il cui compito è distribuire i “wiper” su una rete locale tramite WMI e SMB;
  • HermeticRansom, ransomware (scritto nel linguaggio Go).

Isaac Wiper, denominato anche “Lasainraw”, risulta distribuito tramite eseguibili “.EXE” o librerie “.DLL” e tipicamente depositato in “%programdata%” o “C:\Windows\System32”. Le principali peculiarità sono enumerare le unità fisiche presenti sul sistema, cancellare i primi 0x10000 byte di ciascun disco fisico rilevato, utilizzando il generatore pseudocasuale “ISAAC”, enumerare le unità logiche e cancellare ricorsivamente i file in esse contenuti sovrascrivendoli con byte casuali tramite l’algoritmo “ISAAC PRNG”.

Al momento questo “wiper” non risulta avere collegamenti con HermeticWiper. Gli esperti evidenziano che il malware utilizza un file di log memorizzato in “C:\ProgramData\log.txt” per tenere traccia delle proprie attività.

Il secondo, HermeticWizard, denominato anche “Foxblade”, è un Worm distribuito tramite file “.DLL” “Wizard.dll”, il cui compito principale è distribuire HermeticWiper tramite la riga di comando “regsvr32.exe /s /i <percorso_dll>”.

Le principali peculiarità sono reperire gli IP delle macchine presenti nella rete locale e tentare di connettersi agli IP rilevati tramite connessioni TCP su una serie di porte per distribuire successivamente il “wiper” tramite i protocolli WMI o SMB.

HermeticRansom, denominato anche “SonicVote”, è un ransomware scritto in GO, distribuito tramite i file “.EXE” come cc2.exe, com.exe e cpin.exe. All’interno del codice malevolo sono state individuate stringhe che fanno riferimento agli Stati Uniti.

Il ransomware, al termine del processo di crittografia rilascia una nota di riscatto in cui si richiede alla vittima di contattare via mail gli attaccanti per ottenere le istruzioni per decriptare i file.

Azioni di mitigazione

Il CISIRT comunica che laddove non già provveduto e in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza, si raccomanda di implementare gli indicatori di compromissione disponibili in allegato e di elevare il livello di attenzione adottando in via prioritaria, le azioni di mitigazione elencate sul loro sito.

 

https://csirt.gov.it/contenuti/nuovi-malware-contro-istituzioni-ucraine-al01-220303-csirt-ita

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE