l'analisi

IsaacWiper, nuovo malware russo contro l’Ucraina: quali danni

Ecco Isaac Wiper il nuovo malware russo che cancella i dati presenti. Potenzia così l’armamento cyber adoperato in questa guerra sempre più ibrida, contro le reti governative ucraine

02 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

I ricercatori di ESET Research Labs hanno identificato un nuovo malware IsaacWiper, utilizzato nello scontro cyber in corso tra Russia e Ucraina che vede colpite strutture critica, aziendali e pubbliche, dei due paesi. Nello specifico IsaacWiper, è stato rilevato in attacchi contro organizzazione governativa in Ucraina. Per il momento non ci sono evidenze di incidenti simili oltre i confini nazionali.

Chi è IsaacWiper?

E’ stato identificato per la prima volta il 23 febbraio, a poche ore di distanza dall’attacco fisico dei soldati russi impegnati nell’operazione di invasione dell’Ucraina.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi

Dall’analisi effettuata emergono funzionalità particolarmente pericolose e si cerca un’attribuzione che ancora non è nota. Non è infatti documentato chi ha sviluppato questo malware e chi lo distribuisce, quale organizzazione criminale possa esserci dietro, si ricercano invece tracce di collegamento con HermeticWiper, identificato pochi giorni fa.

“Per IsaacWiper, stiamo attualmente cercando una connessione, se presente, con HermeticWiper. È importante notare che è stato trovato nelle reti di organizzazioni ucraine che non sono state infettate da HermeticWiper”, ha affermato Jean-Ian Boutin, capo della divisione di ricerca sulle minacce informatiche di ESET.
 
Anche le vie di accesso originali utilizzate per distribuire sia Isaac che HermeticWiper, non sono chiare. Tuttavia, si ritiene che gli aggressori abbiano utilizzato strumenti di spostamento laterale e distribuzione di malware come Impacket e RemCom, un programma di accesso remoto, all’interno di organizzazioni già compromesse. Tutto infatti fa pensare al fatto che questi attacchi non siano frutto di organizzazione “dell’ultimo minuto”, ma già premeditati da mesi, come suggerisce anche lo studio della datazione delle firme utilizzate nel malware. La prima firma risalirebbe al 13 aprile 2021 e presumibilmente ottenuta impersonando la società Hermetica Digital, per il tramite del certificatore DigiCert, il quale avrebbe emesso il certificato valido.

Come funziona il malware IsaacWiper

Il nuovo malware IsaacWiper è un data destroyer (il cosiddetto wiper appunto), dal punto di vista del codice, analizzato dai ricercatori, non ha alcuna somiglianza con il recente HermeticWiper, essendo anche molto meno sofisticato.

Una volta attivato, il wiper inizia l’attività malevola enumerando le unità di memoria trovate sulla macchina che lo ospita. Con questa numerazione cancella ricorsivamente tutti i file presenti, un thread alla volta, impiegando anche parecchio tempo nel caso di unità di memoria di grandi dimensioni.

Inoltre i ricercatori hanno potuto rilevare la presenza di IsaacWiper in %programdata% e C:WindowsSystem32, rappresentato nei seguenti nomi di file:

  • clean.exe
  • cl.exe
  • cl64.dll
  • cld.dll
  • cl.dll

Così come per HermeticWiper, sono stati aggiornati ben tre nuovi IoC (indicatori di compromissioni) di cui è utile prendere visione, direttamente in coda al rapporto ufficiale di ESET.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3