Cybersicurezza, Iezzi: malware wiper nuova grave minaccia per i sistemi informatici

foto-di-muha-ajjan-su-unsplashI malware della classe wiper costituiscono la nuova grave minaccia per la sicurezza informatica di aziende e amministrazioni in tutto il mondo. Progettati per cancellare i dati presenti sui sistemi informatici infettati con danni irreparabili alle attività aziendali e alle istituzioni pubbliche, questi strumenti di cyberattacco sono al centro del nuovo report Swascan (Gruppo Tinexta) appena pubblicato con il patrocinio di Assintel e di ECSO – European Cyber Security Organization.
Dal devastante NotPetya, utilizzato a partire dal 2017 colpendo organizzazioni in diversi settori in più di 65 paesi con danni per oltre 10 miliardi di dollari in tutto il mondo, ai più recenti e letali AcidRain, WhisperKill e IsaacWiper, sviluppati e usati nel corso del conflitto russo-ucraino per mettere fuori uso le infrastrutture digitali di Kiev, sono una quindicina i wiper presi in esame in questa dettagliata analisi tecnica, che rivela la pericolosità di questi strumenti di vera e propria guerra informatica attraverso la puntuale e precisa disamina del loro funzionamento.
“L’antenato di quello che oggi come conosciamo come wiper era stato presumibilmente utilizzato nel 2012 in una serie di attacchi contro compagnie iraniane. Ma il primo vero e proprio malware con capacità wiper è stato Shamoon, attivo tra il 2012 e il 2016. Uno degli attacchi più diffusi, invece, risale al giugno 2017 con la famigerata ondata di infezioni NotPetya”.
Ma il decisivo incremento di questi attacchi letali è avvenuto con il conflitto russo-ucraino.
“Diverse organizzazioni e infrastrutture critiche in Ucraina – si legge infatti nel rapporto – sono state colpite da questa ondata di NotPetya, compresi i sistemi di monitoraggio delle radiazioni della centrale nucleare di Chernobyl. In particolare, il 24 febbraio 2022 il virus wiper chiamato AcidRain è stato utilizzato in un attacco informatico contro il servizio Internet satellitare di Viasat, che ha interessato diversi paesi, tra cui l’Italia”.
“SwiftSlicer, scoperto dai ricercatori di Fortinet il 25 gennaio 2023 – riporta ancora l’analisi di Swascan – è stato utilizzato per condurre un attacco informatico ad infrastrutture ucraine. Questo virus non ha come obiettivo il riscatto o la monetizzazione, ma solo la distruzione dei dati e il sabotaggio dei sistemi informatici. Il giorno prima dell’invasione dell’Ucraina da parte delle forze russe, il 24 febbraio 2022, è stato scoperto un nuovo wiper scatenato contro una serie di entità ucraine, conosciuto con il nome di “HermeticWiper”, basato su un certificato digitale rubato da un’azienda chiamata Hermetica Digital Ltd”.

Il rapporto presenta in una efficace tabella sintetica i dettagli relativi ai 13 wiper più noti attualmente in uso: Shamoon, il primo a essere utilizzato nel 2012 per attaccare le compagnie petrolifere Saudi Aramaco e RasGas; il nordcoreano Dark Seoul, che ha reso inutilizzabili circa 30.000 computer nei settori dei media e dei servizi finanziari della Corea del Sud; il già citato russo NotPetya; il nordcoreano Olympic Destroyer, mirato a ostacolare i servizi informatici delle Olimpiadi invernali del 2018 in Corea del Sud; Ordinypt/GermanWIper, che nel 2019 ha preso di mira le organizzazioni tedesche; l’iraniano Dustman, che nel 2019 ha attaccato la compagnia petrolifera nazionale del Bahrein; ZeroCleare, che nel 2020 ha preso di mira le aziende energetiche del Medio Oriente; i russi WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero e AcidRain che in varie fasi nel 2022 hanno colpito istituzioni e imprese ucraine
L’indagine identifica tre principali “use case” di utilizzo dei wiper: spionaggio, sabotaggio e diversivo.
La modalità di spionaggio prevede l’utilizzo dei wiper per rubare informazioni sensibili o segrete da un sistema informatico infetto. In questo caso, gli aggressori utilizzano il malware per eliminare le tracce del loro accesso ai sistemi dell’organizzazione, impedendo agli investigatori di scoprire come l’attacco sia stato effettuato e quali dati siano stati rubati. Non deve esser escluso neppure il suo impiego per attacchi false flag. In questo caso, un attore potrebbe utilizzare un malware wiper per condurre un attacco e far credere che sia stato perpetrato da un altro attore.
La modalità di sabotaggio prevede l’utilizzo dei wiper per distruggere o danneggiare l’infrastruttura informatica di un paese o di un’organizzazione. In questo caso, gli attaccanti utilizzano il malware per cancellare o danneggiare i dati critici o le infrastrutture informatiche, causando gravi danni all’organizzazione o al paese colpito.
Infine, la modalità diversiva prevede l’utilizzo dei wiper per mascherare altri attacchi informatici o per depistare gli investigatori. In questo caso, gli aggressori utilizzano il malware per eliminare le tracce dei loro veri obiettivi e delle loro attività, inducendo gli investigatori a seguire false piste e impedendo loro di scoprire l’attacco reale.

Pierguido Iezzi

Pierguido Iezzi

“Gran parte dei malware wiper visti nella prima metà del 2022 – dichiara il CEO di Swascan, Pierguido Iezzi – è stato distribuito contro organizzazioni ucraine. La crescita del malware wiper durante un conflitto non è una sorpresa. È difficile monetizzare, dunque si punta sulla distruzione, il sabotaggio e la guerra informatica. Piuttosto che essere utilizzato in modo isolato, un wiper viene spesso utilizzato nel contesto di un attacco più ampio. I wiper sono diventati di portata globale e un punto fermo nell’arsenale dei gruppi APT, segnando un cambiamento nel modo in cui gli Stati operano e conducono le operazioni informatiche. Ma non solo, a breve potremmo assistere al loro impiego anche da parte di gruppi di hacktivisti, in lieu di braccio armato di attori ben più “pesanti” sul piano internazionali. Non è infatti neppure escludibile un coinvolgimento degli stati nella promozione o nel supporto di gruppi hacktivisti. Questi potrebbero sfruttare i gruppi hacktivisti, come strumento di politica estera (nuova forma di sharp power), fornendo loro supporto logistico, finanziario o tecnico per condurre attacchi wiper contro avversari o obiettivi di interesse strategico. Un convergere di scenari in cui questo strumento potrebbe diventare potenzialmente ancora più distruttivo delle armi digitali già impiegate dagli attori attivi adesso sul palcoscenico geopolitico internazionale. Possibili sviluppi che vanno attenzionati da vicino per riuscire ad anticipare possibili conseguenze disastrose in caso di attacco”.

Stampa