Hack distruttivi contro l’Ucraina fanno eco alla sua ultima guerra informatica

Per settimane, il Il mondo della sicurezza informatica si è preparato per l’hacking distruttivo che potrebbe accompagnare o presagire un’invasione russa dell’Ucraina. Ora, la prima ondata di quegli attacchi sembra essere arrivata. Sebbene finora su piccola scala, la campagna utilizza tecniche che suggeriscono una replica della massiccia e distruttiva campagna di guerra informatica della Russia che ha paralizzato il governo ucraino e le infrastrutture critiche negli anni passati.

Il malware che distrugge i dati, fingendosi ransomware, ha colpito i computer all’interno delle agenzie governative ucraine e delle organizzazioni correlate, ricercatori di sicurezza di Microsoft detto sabato sera. Le vittime includono un’azienda IT che gestisce una raccolta di siti Web, come gli stessi che gli hacker hanno deturpato venerdì con un messaggio anti-ucraino. Ma Microsoft ha anche avvertito che il numero delle vittime potrebbe ancora crescere man mano che il malware wiper viene scoperto su più reti.

Viktor Zhora, un alto funzionario dell’agenzia di sicurezza informatica ucraina nota come Servizi statali per la comunicazione speciale e la protezione delle informazioni, o SSSCIP, afferma di aver iniziato a sentire parlare dei messaggi di ransomware venerdì. Gli amministratori hanno scoperto che i PC erano bloccati e mostravano un messaggio che richiedeva $ 10.000 in Bitcoin, ma i dischi rigidi delle macchine erano irreversibilmente danneggiati quando un amministratore li ha riavviati. Dice che SSSCIP ha trovato il malware solo su una manciata di macchine, ma anche che Microsoft ha avvertito gli ucraini di avere prove che il malware avesse infettato dozzine di sistemi. A partire da domenica mattina ET, sembra che uno abbia tentato di pagare il riscatto per intero.

“Stiamo cercando di vedere se questo è collegato a un attacco più ampio”, afferma Zhora. “Questa potrebbe essere una prima fase, parte di cose più serie che potrebbero accadere nel prossimo futuro. Ecco perché siamo molto preoccupati”.

Microsoft avverte che quando un PC infettato dal falso ransomware viene riavviato, il malware sovrascrive il record di avvio principale del computer o MBR, informazioni sul disco rigido che indicano a un computer come caricare il suo sistema operativo. Quindi esegue un programma di danneggiamento dei file che sovrascrive un lungo elenco di tipi di file in determinate directory. Queste tecniche distruttive sono insolite per il ransomware, osserva il post sul blog di Microsoft, dato che non sono facilmente reversibili se una vittima paga un riscatto. Né il malware né il messaggio di riscatto appaiono personalizzati per ogni vittima in questa campagna, suggerendo che gli hacker non avevano intenzione di rintracciare le vittime o sbloccare le macchine di coloro che pagano.

Entrambe le tecniche distruttive del malware, così come il suo falso messaggio di ransomware, riportano inquietanti promemoria degli attacchi informatici di cancellazione dei dati effettuati dalla Russia contro i sistemi ucraini dal 2015 al 2017, a volte con risultati devastanti. Nelle ondate di questi attacchi del 2015 e 2016, un gruppo di hacker noto come Sandworm, successivamente identificato come parte dell’agenzia di intelligence militare russa GRU, ha utilizzato malware simile al tipo identificato da Microsoft per cancellare centinaia di PC all’interno di media ucraini, servizi elettrici, sistema ferroviario e agenzie governative tra cui il suo Tesoro e il fondo pensione.

Tali interruzioni mirate, molte delle quali utilizzavano messaggi di ransomware falsi simili nel tentativo di confondere gli investigatori, sono culminate con il rilascio da parte di Sandworm del worm NotPetya nel giugno del 2017, che si è diffuso automaticamente da una macchina all’altra all’interno delle reti. Come questo attacco attuale, NotPetya ha sovrascritto i record di avvio principale insieme a un elenco di tipi di file, paralizzando centinaia di organizzazioni ucraine, dalle banche agli ospedali di Kiev, alle operazioni di monitoraggio e pulizia di Chernobyl. In poche ore, NotPetya si è diffuso in tutto il mondo, provocando alla fine un totale di 10 miliardi di dollari di danni, l’attacco informatico più costoso della storia.

La comparsa di malware che assomiglia anche vagamente a quegli attacchi precedenti ha aumentato gli allarmi all’interno della comunità globale della sicurezza informatica, che aveva già avvertito di un’escalation distruttiva dei dati date le tensioni nella regione. La società di sicurezza Mandiant, ad esempio, venerdì ha pubblicato una guida dettagliata per rafforzare i sistemi IT contro potenziali attacchi distruttivi del tipo che la Russia ha effettuato in passato. “Abbiamo avvertito in modo specifico i nostri clienti di un attacco distruttivo che sembrava essere un ransomware”, afferma John Hultquist, che guida l’intelligence sulle minacce di Mandiant.

Microsoft è stata attenta a sottolineare che non ha prove della responsabilità di alcun gruppo di hacker noto per il nuovo malware scoperto. Ma Hultquist dice che non può fare a meno di notare le somiglianze del malware con i wiper distruttivi usati da Sandworm. Il GRU ha una lunga storia nel compiere atti di sabotaggio e disgregazione nei cosiddetti “quasi esteri” della Russia degli ex stati sovietici. E Sandworm in particolare ha una storia di accelerazione del suo hacking distruttivo in momenti di tensione o conflitto attivo tra Ucraina e Russia. “Nel contesto di questa crisi, ci aspettiamo che il GRU sia l’attore più aggressivo”, afferma Hultquist. “Questo problema è la loro timoneria.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.