Data wiper usati contro aziende, banche ed enti pubblici ucraini

Un data wiper è uno strumento software che viene utilizzato per la cancellazione sicura dei dati in modo da renderne impossibile il recupero.
In passato abbiamo parlato di wiping da effettuare quando si cedono PC e unità di memorizzazione e come funziona la cancellazione sicura sulle unità SSD.

Anche i malware possono però integrare funzioni di data wiping con l’obiettivo di danneggiare i dati memorizzati su server e sistemi altrui.
Lo dimostrano le molteplici azioni che hanno preso di mira varie organizzazioni ucraine.

ESET e Symantec hanno segnalato alcuni campioni di malware con capacità di data wiping che sono stati utilizzati per aggredire società ed enti pubblici in Ucraina così come in Lettonia e Lituania.

Entrambe le società impegnate nello sviluppo di soluzioni per la sicurezza informatica stanno rilasciando dettagli e informazioni tecniche sulle minacce appena scoperte. Il data wiper Win32/KillDisk.NCV, completamente sconosciuto fino a poche ore fa e adesso rilevato dalla stragrande maggioranza dei motori di scansione antimalware (basta cercare su VirusTotal l’hash SHA-256 che Symantec ha pubblicato in questo tweet), risulta sia stato compilato a fine dicembre 2021 a testimonianza del fatto che l’aggressione era stata preparata da tempo.

Gli autori del malware avrebbero addirittura utilizzato driver dotati di firma digitale estrapolati dal noto e apprezzato software per il partizionamento di hard disk e SSD EASUS Partition Manager per danneggiare il contenuto dei supporti di memorizzazione.

ESET fa notare che in almeno uno degli attacchi, l’aggressione non è partita da singoli computer collegati alla rete locale ma ha avuto origine direttamente dal controller di dominio di Windows. Questo indica che i responsabili degli attacchi erano riusciti a ottenere l’accesso alle reti delle vittime già tempo prima.
“In una delle organizzazioni prese di mira, il modulo wiper è stato rilasciato tramite GPO. Ciò significa che gli attaccanti avevano probabilmente già preso il controllo del server Active Directory“, si spiega da ESET.

Contemporaneamente sono stati lanciati diversi attacchi DDoS (Distributed Denial of Service) verso siti web governativi, di enti pubblici, di banche e aziende ucraine per metterli temporaneamente fuori servizio.
Cloudflare ha fatto sapere che sebbene si tratti di aggressioni sicuramente “rilevanti”, gli attacchi DDoS registrati nelle scorse ore sono piuttosto modesti se paragonati con quelli sferrati in passato.