Hermetic Wiper è un malware che ha capacità distruttiva dei dati presenti sugli hard disk dei dispositivi infetti. La redazione di Matrice Digitale ha sollevato un quesito su eventuali analogie tra il nuovo file utilizzato nella guerra cibernetica ad opera della Russia ai danni dell’Ucraina ed altri già visti da altrettante APT, ma, trattandosi di specialisti militari russi, il primo metro di paragone ricade su Sandworm e NotPeyta.
A fugare i dubbi, ci ha provato Marco Ramilli di Yoroy che ha pubblicato un paper virtuale dove ha provato a fare un confronto tra HermeticWiper ed il temibile NotPeyta che aggredì con violenza i dispositivi informatici dell’Ucraina diversi anni fa.
Ramilli fornisce una curiosità non da meno per prevenire ulteriormente una infezione dal malware e precisamente che “DiskKill cancella solo i primi 100 hard disk disponibili sul sistema di destinazione. Quindi, se hai dei file davvero importanti puoi emulare 100 HD “vuoti” e memorizzare i tuoi file sul 101. Credo che questa sia un’altra caratteristica interessante di questo specifico wiper“.
Ramilli ha pubblicato una tabella comparativa dove prova a mettere in correlazione i due attacchi informatici e notiamo che le caratteristiche sono diverse.
C’è Sandworm dietro?
“Per quanto ne so, i campioni di DiskKill sono molto diversi dal NotPetya Ransomware. NotPetya sembra un software più complesso e ben strutturato, mentre HermeticWiper sembra più semplice con un unico intento: cancellare i Master Boot Records. D’altra parte DiskKill si preoccupa della velocità di cancellazione (struttura multi thread) mentre NotPetya è più interessato ai movimenti laterali (attraverso CVE), comunicazioni C2 e modularità. È difficile dire se l’attore della minaccia sia lo stesso o meno, ma le due famiglie mi sembrano abbastanza diverse.
