I team di sicurezza informatica di Microsoft hanno rivelato di aver identificato le prove di una nuova operazione malware distruttiva denominata “WhisperGate” che ha preso di mira entità governative, senza scopo di lucro e informatiche in Ucraina nel mezzo delle tensioni geopolitiche tra il paese e la Russia.
“Il malware è camuffato da ransomware ma, se attivato dall’attaccante, renderebbe inutilizzabile il sistema informatico infetto“, ha affermato Microsoft , aggiungendo che le intrusioni erano mirate alle agenzie governative che forniscono servizi critici.
Tra i soggetti colpiti dal malware figura l’azienda IT che “ha gestito siti Web per clienti del settore pubblico e privato, comprese le agenzie governative i cui siti Web sono stati recentemente cancellati“.
Il gigante informatico, che per primo ha rilevato il malware il 13 gennaio, ha attribuito gli attacchi a un cluster di minacce emergente denominato ” DEV-0586 “, senza che si siano osservate sovrapposizioni nelle tattiche e nelle procedure con altri gruppi precedentemente documentati. Ha inoltre affermato che il malware è stato trovato su dozzine di sistemi interessati, un numero che, secondo gli analisti, aumenterà man mano che le indagini continuano.
Secondo Microsoft Threat Intelligence Center (MSTIC) e Microsoft Digital Security Unit (DSU), la catena di attacco è un processo in due fasi che comporta:
Sovrascrivere il Master Boot Record ( MBR ), il primo settore di qualsiasi disco rigido che identifica dove si trova il sistema operativo nel disco in modo che possa essere caricato nella RAM di un computer, sul sistema di una vittima per visualizzare una falsa richiesta di riscatto sollecitando nel pagare un importo di $ 10.000 a un portafoglio bitcoin
Nella seconda fase c’è un file eseguibile che recupera un malware, che ha il compito di corrompere i file, ospitato su un canale Discord progettato per cercare file con 189 estensioni diverse, quindi sovrascriverne irrevocabilmente il contenuto con un numero fisso di byte 0xCC e rinominare ogni file con quattro byte apparentemente casuali.
L’attività dannosa non è compatibile con l’attività di ransomware dei criminali informatici per motivi che “gli importi dei pagamenti espliciti e gli indirizzi dei portafogli di criptovaluta sono raramente specificati nelle moderne note di riscatto criminale e la richiesta di riscatto in questo caso non include un ID personalizzato“, ha affermato Microsoft.
Tuttavia, Reuters ha sollevato oggi la possibilità che gli attacchi possano essere stati opera di un gruppo di spionaggio collegato all’intelligence bielorussa che è stato rintracciato come UNC1151 e Ghostwriter. “L’UNC1151 ha condotto numerose intrusioni significative nelle entità del governo ucraino“, ha rivelato la società di sicurezza informatica Mandiant in un rapporto nel novembre 2021, sottolineando che le operazioni del gruppo sono in linea con gli interessi del governo bielorusso.
