Categorie
Notizie

Dietro gli attacchi informatici in Ucraina si nasconde l’APT Sandworm?

Tempo di lettura: 2 minuti.

L’ultima analisi sul malware che ha preso di mira dozzine di agenzie ucraine all’inizio di questo mese ha rivelatosomiglianze strategiche” con il malware NotPetya che è stato scatenato contro l’infrastruttura del paese e altrove nel 2017.

L’attuale attacco, soprannominato WhisperGate, è stato scoperto da Microsoft la scorsa settimana, che ha affermato di aver analizzato la campagna informatica che ha preso di mira enti governativi, senza scopo di lucro e informatici nella nazione”.

Sebbene WhisperGate abbia alcune somiglianze strategiche con il famigerato NotPetya che ha attaccato le entità ucraine nel 2017, tra cui mascherarsi da ransomware e prendere di mira e distruggere il master boot record (MBR) invece di crittografarlo, in particolare ha più componenti progettati per infliggere danni aggiuntiviCisco Talos ha dichiarato in un rapporto che descrive in dettaglio i suoi sforzi di risposta.

Affermando che le credenziali rubate sono state probabilmente utilizzate nell’attacco, la società di sicurezza informatica ha anche sottolineato che l’attore della minaccia aveva accesso ad alcune delle reti delle vittime con mesi di anticipo prima che si verificassero le azioni distruttive: un classico segno di sofisticati attacchi APT.


Non Petya e WhisperGate

La catena di infezione di WhisperGate è modellata come un processo a più fasi che scarica un payload che cancella il record di avvio principale (MBR), quindi scarica un file DLL dannoso ospitato su un server Discord, che rilascia ed esegue un altro payload del wiper che distrugge irrevocabilmente i file tramite sovrascrivendo il loro contenuto con dati fissi sugli host infetti.

I risultati arrivano una settimana dopo che circa 80 siti web di agenzie governative ucraine sono stati deturpati, con le agenzie di intelligence ucraine che hanno confermato che gli incidenti gemelli fanno parte di un’ondata di attività dannose mirate alla sua infrastruttura critica, osservando anche che gli attacchi hanno sfruttato il Log4j recentemente divulgato vulnerabilità per accedere ad alcuni dei sistemi compromessi.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version