Tra il 13 e il 14 gennaio, un attacco cyber ha colpito i server governativi ucraini. Molti siti appartenenti ai Ministeri del governo sono andati offline, come descriveva ad esempio il sito del Ministero dell’Istruzione ucraino.
La pagina Facebook, infatti, citava: “”A causa di un attacco globale nella notte dal 13 al 14 gennaio 2022, il sito ufficiale del Ministero dell’Istruzione e della Scienza è temporaneamente non funzionante.”
Secondo fonti governative, sarebbero stati colpiti anche i siti web del Ministero degli Affari Esteri, il Servizio di Emergenza Statale e dei ministri del Gabinetto.
L’Ucraina ha comunicato che sembra avere prove certe che è la Russia ad essere dietro alla questione. Ma osserviamo più a fondo la questione.
Come si comporta il malware
“Il malware, progettato per sembrare un ransomware ma privo di un meccanismo di recupero del riscatto, è destinato a essere distruttivo e progettato per rendere inutilizzabili i dispositivi presi di mira piuttosto che ottenere un riscatto”, ha affermato Microsoft in un post sul blog ufficiale.
Cisco Talos ha offerto supporto al governo ucraino, lavorando insieme al Servizio Statale per le Comunicazioni Speciali dell’Ucraina (SSSCIP), il Dipartimento di Cyberpolice della Polizia Nazionale ucraina e il Centro di Coordinamento Nazionale per la sicurezza informatica.
Il malware in questione è stato chiamato WhisperGate, che presenta diverse somiglianze con NotPetya, un wiper malware che aveva attaccato l’Ucraina nel 2017.
Alcune somiglianze includono il sembrare un ransomware, prendendo poi di mira e distruggendo il master boot record (MBR) invece di crittografarlo. L’attacco infatti chiedeva come riscatto $10.000 in BTC, che erano soltanto una copertura per il vero intento distruttivo del malware.
In particolare WhisperGate ha più componenti progettati per infliggere danni aggiuntivi rispetto ai precedenti Petya. I cybercriminali hanno utilizzato credenziali rubate e hanno probabilmente avuto accesso per mesi ai network delle vittime prima di effettuare l’attacco. Questa è una caratteristica tipica di attacchi APT (advanced persistent threat) sofisticati. La catena di infezione multistadio scarica un payload che cancella l’MBR, quindi scarica un file DLL dannoso ospitato su un server Discord, il quale rilascia ed esegue un altro wiper payload che alla fine distrugge i file sui computer infetti.
I ricercatori hanno sottolineato che il down dei server di 80 siti governativi e persino gli attacchi wiper non sono, di per sé, allarmanti. L’Ucraina è stata considerata per anni un test lab per attacchi informatici da parte di hacker russi. “Se non fosse per l’evidente aumento delle tensioni geopolitiche nella regione, questo sarebbe semplicemente considerato un normale inverno in Ucraina”, scrivono i ricercatori di Cisco, aggiungendo che hanno “visto questo tipo di attività a fasi alterne per anni ” e “non vedono motivo di farsi prendere dal panico a causa di questi eventi”.
La somiglianza con NotPetya
L’attacco NotPetya del 2017 aveva causato ben 10 milioni di dollari in danni in tutto il mondo. Cisco dice di prendere NotPetya come avvertimento: ogni organizzazione con connessioni in Ucraina dovrebbe “considerare attentamente come isolare e monitorare tali connessioni per proteggersi da potenziali danni collaterali”. Ma in cosa consisteva effettivamente NotPetya?
Il malware Petya sfruttava la vulnerabilità CVE-2017-0144 nell’implementazione di Microsoft del protocollo Server Message Block. Dopo aver sfruttato la vulnerabilità, questo attacco crittografa il master boot record insieme ad altri file. Successivamente, invia un messaggio all’utente per intimarlo a eseguire un riavvio del sistema, dopodiché il file diventano inaccessibili. Ciò rende il sistema operativo incapace di localizzare i file e non c’è modo di decrittografarli. Il che rende Petya un wiper piuttosto che un ransomware, come inizialmente si credeva.
NotPetya fa parte della famiglia dei malware Petya, ed è stato scoperto a giugno 2017. Kaspersky Lab ha chiamato questa nuova versione proprio NotPetya per distinguerla dalle varianti scoperte nel 2016. Petya e NotPetya utilizzano chiavi diverse per la crittografia e hanno stili di riavvio, visualizzazioni e note diversi tra loro. Nonostante ciò, entrambi sono particolarmente distruttivi.
WhisperGate, un altro wiper malware
Come visto prima, anche WhisperGate si comporta in modo molto simile ai malware della famiglia Petya.
Il malware risiede in varie directory, tra cui C:\PerfLogs, C:\ProgramData, C:\ e C:\temp, ed è spesso denominato stage1.exe. Nelle intrusioni osservate, il malware viene eseguito tramite Impacket, una funzionalità disponibile pubblicamente spesso utilizzata dagli hacker per il Lateral Movement e l’esecuzione delle minacce.
La nota di riscatto che viene visualizzata sui computer è la seguente:
Il tuo disco rigido è stato corrotto.
Nel caso in cui desideri ripristinare tutti i dischi rigidi della tua organizzazione, dovresti pagarci $10k tramite il portafoglio bitcoin 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv e invia un messaggio tramite ID […] con il nome della tua organizzazione.
Ti contatteremo per darti ulteriori istruzioni.
Il malware viene eseguito quando il dispositivo attaccato viene spento. In realtà, la nota ransomware è un diversivo che distrae l’utente mentre il malware distrugge il MBR e il contenuto dei file che prende di mira.
Prevenire intrusioni e prevenire il download del malware è possibile tramite l’implementazione di una soluzione di tipo NDR (Network Detection and Response). Attraverso l’analisi costante del traffico dell’infrastruttura e grazie ai suoi motori di Artificial Intelligence e Threat Intelligence, è possibile individuare le prime fasi di attacco. L’artificial intelligence permette di identificare i comportamenti anomali di un utente, User Behavior, e tramite l’analisi degli indirizzi esterni contattati, permette di individuare le connessioni sospette e malevole.
È consigliato inoltre:
- Utilizzare gli IoC per verificare se esistono vulnerabilità nel tuo ambiente e valutare una potenziale intrusione.
- Rivedere tutte le attività di autenticazione per l’infrastruttura di accesso remoto, con particolare attenzione agli account configurati con autenticazione a fattore singolo, per confermare l’autenticità e indagare su eventuali attività anomale.
- Abilitare l’autenticazione a più fattori (MFA) per mitigare le credenziali potenzialmente compromesse; garantire che l’autenticazione a più fattori sia applicata per tutta la connettività remota.