Il conflitto russo-ucraino non si limita ad utilizzare soldati e carri armati: dall’inizio della guerra sono stati rivelati diversi attacchi cyber a danno di entrambe le fazioni.

I malware che prendiamo in analisi in questo articolo sono tre, IsaacWiper, un malware di tipo “wiper”, un ransomware chiamato HermeticRansom e HermeticWizard, il cui compito è distribuire i “wiper”. Queste famiglie di malware sono state scoperte dalla società ESET e non sono stati attribuiti a nessun attore in particolare.

Un tweet di ESETResearch afferma infatti che è stato scoperto un attacco contro i computer ucraini iniziato intorno alle 14:52 del 23 febbraio 2022 UTC. Ciò ha fatto seguito agli attacchi DDoS (Distributed Denial of Service) contro i principali siti web ucraini e ha preceduto di poche ore l’invasione militare russa.

Questi attacchi distruttivi sfruttavano almeno tre delle componenti citate prima:

HermeticWiper, che rende inutilizzabile un sistema corrompendone i dati. È stato osservato su centinaia di sistemi in almeno cinque organizzazioni ucraine. HermeticWizard, il quale diffonde HermeticWiper su una rete locale tramite WMI e SMB. Per finire, abbiamo HermeticRansom, un ransomware scritto in linguaggio Go.

Il 24 febbraio 2022 è stato rilevato l’altro tipo di wiper citato in precedenza all’interno di una rete governativa ucraina. Questo verrà chiamato IsaacWiper.

L’analisi di HermeticWiper

A prima vista, HermeticWiper sembra essere un’applicazione personalizzata con pochissime funzioni standard. Il campione del malware ha una dimensione di 114 KB e circa il 70% è composto da risorse. Gli sviluppatori stanno utilizzando una tecnica già conosciuta di malware wiper, abusando di un driver di gestione delle partizioni benigno, al fine di eseguire componenti dannosi. Il driver usato da HermeticWiper è chiamato empntdrv.sys.

HermeticWiper e HermeticWizard sono firmati da un certificato Code Signing assegnato a Hermetica Digital Ltd emesso il 13 aprile 2021. È stato richiesto alla CA emittente (DigiCert) di revocare il certificato, cosa che ha fatto il 24 febbraio 2022.

HermeticWiper è un eseguibile di Windows con quattro driver incorporati nelle sue risorse. Sono driver legittimi del software EaseUS Partition Master firmato da CHENGDU YIWO Tech Development Co. e implementano operazioni su disco di basso livello. Sono stati osservati i seguenti file:

0E84AFF18D42FC691CB1104018F44403C325AD21: driver x64

379FF9236F0F72963920232F4A0782911A6BD7F7: driver x86

87BD9404A68035F8D70804A5159A37D1EB0A3568: driver x64 XP

B33DD3EE12F9E6C150C964EA21147BF6B7F7AFA9: driver x86 XP

A seconda della versione del sistema operativo, uno di questi quattro driver viene scelto e rilasciato in C:\Windows\System32\drivers\<4 lettere casuali>.sys. Viene quindi caricato creando un servizio.

HermeticWiper procede quindi disabilitando il Volume Shadow Copy Service (VSS) e si cancella dal disco sovrascrivendo il proprio file con byte casuali. Questa misura anti-forense ha probabilmente lo scopo di impedire che il wiper venga individuato nelle analisi post-attacco.

Le posizioni seguenti vengono sovrascritte con byte casuali generati dalla funzione API di Windows CryptGenRandom:

  • Il master boot record (MBR)
  • La tabella dei file master (MFT)
  • $Bitmap e $LogFile su tutte le unit
  • I file contenenti le chiavi di registro (NTUSER*)
  • C:\Windows\System32\winevt\Logs

Alla fine, il computer viene riavviato. Tuttavia, non riuscirà ad avviarsi, perché l’MBR, l’MFT e la maggior parte dei file sono stati cancellati.

L’analisi di IsaacWiper

IsaacWiper è un malware C++ distruttivo che è stato segnalato come utilizzato in campagne mirate contro organizzazioni ucraine. Il nome file originale del campione analizzato è “Cleaner.dll”.

IsaacWiper si trova in una DLL o EXE di Windows senza firma Authenticode; è apparso per la prima volta il 24 febbraio 2022. IsaacWiper è stato individuato in %programdata% e C:\Windows\System32 con denominazioni: clean.exe, cl.exe, cl64.dll, cld.dll, cl.dll. Il codice non ha somiglianze con quello di HermeticWiper ed è molto meno complicato.

IsaacWiper inizia enumerando le unità fisiche e chiama DeviceIoControl con IOCTL IOCTL_STORAGE_GET_DEVICE_NUMBER per ottenere i numeri dei dispositivi. Quindi cancella i primi 0x10000 byte di ciascun disco utilizzando il generatore pseudocasuale Mersenne Twister. Il generatore viene sottoposto a seeding utilizzando il valore GetTickCount.

Un ransomware esca: PartyTicket

Il 24 febbraio 2022, i ricercatori Symantec hanno individuato un nuovo ransomware Go utilizzato come esca insieme all’implementazione di HermeticWiper. Durante la nostra analisi abbiamo deciso di chiamarlo PartyTicket basandoci su alcune delle stringhe utilizzate dagli sviluppatori del malware.

L’idea di utilizzare un ransomware come esca per un wiper è però controproducente. In realtà, è più probabile che un ransomware mal codificato come PartyTicket blocchi risorse durante l’esecuzione di un wiper altrimenti efficiente. Come spesso accade agli sviluppatori Go amatoriali, il malware ha uno scarso controllo sui suoi thread simultanei e sui comandi che tenta di eseguire. Questo porta a centinaia di thread ed eventi generati, rendendolo estremamente facile da individuare.

L’organizzazione delle cartelle e le convenzioni di denominazione delle funzioni all’interno del binario mostrano l’intento dello sviluppatore di schernire il governo degli Stati Uniti e l’amministrazione Biden. Un esempio di thread è:

403forBiden.wHiteHousE.primaryElectionProcess()

Nel complesso, PartyTicket si tratta di un malware piuttosto semplice con un codice estremamente amatoriale: per questo è considerato un ransomware esca, utilizzato in simultanea con HermeticWiper.

Articolo precedenteFritzFrog: nuova botnet che minaccia educazione – governi e sanit
Articolo successivoUcraina: ancora la guerra, prima dei negoziati. E noi applaudiamo
Francesco Iezzi
Francesco Iezzi