{"id":57192,"date":"2022-03-09T19:29:54","date_gmt":"2022-03-09T18:29:54","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=57192"},"modified":"2022-03-09T19:29:59","modified_gmt":"2022-03-09T18:29:59","slug":"hermeticwiper-unanalisi-dettagliata-del-malware-che-ha-preso-di-mira-lucraina","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/hermeticwiper-unanalisi-dettagliata-del-malware-che-ha-preso-di-mira-lucraina\/57192\/","title":{"rendered":"HermeticWiper: un&#8217;analisi dettagliata del malware che ha preso di mira l&#8217;Ucraina"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a15617dd9b8c\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a15617dd9b8c\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/hermeticwiper-unanalisi-dettagliata-del-malware-che-ha-preso-di-mira-lucraina\/57192\/#Analisi_comportamentale\" >Analisi comportamentale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/hermeticwiper-unanalisi-dettagliata-del-malware-che-ha-preso-di-mira-lucraina\/57192\/#In_che_modo_HermeticWiper_infetta_i_computer\" >In che modo HermeticWiper infetta i computer?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/hermeticwiper-unanalisi-dettagliata-del-malware-che-ha-preso-di-mira-lucraina\/57192\/#Migliori_pratiche_per_la_difesa\" >Migliori pratiche per la difesa<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/hermeticwiper-unanalisi-dettagliata-del-malware-che-ha-preso-di-mira-lucraina\/57192\/#Potenziali_vettori_di_distribuzione\" >Potenziali vettori di distribuzione<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n\n<p>Il giorno prima dell&#8217;invasione dell&#8217;Ucraina da parte delle forze russe il 24 febbraio, \u00e8 stato scoperto che un nuovo wiper scatenato contro un certo numero di entit\u00e0 ucraine. A questo malware \u00e8 stato assegnato il nome &#8220;<strong>HermeticWiper<\/strong>&#8221; sulla base di un certificato digitale rubato da una societ\u00e0 chiamata Hermetica Digital Ltd.<\/p>\n\n\n\n<p>Questo wiper \u00e8 notevole per la sua capacit\u00e0 di aggirare le funzionalit\u00e0 di sicurezza di Windows e ottenere l&#8217;accesso in scrittura a molte strutture di dati di basso livello sul disco. Inoltre, gli aggressori volevano frammentare i file sul disco e sovrascriverli per rendere impossibile il ripristino.<\/p>\n\n\n\n<p>Sono emerse altre ricerche in cui sono stati utilizzati componenti aggiuntivi in \u200b\u200b\u200b\u200bquesta campagna, tra cui un worm e un tipico ransomware per fortuna mal implementato e decrittografabile.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"analisi-comportamentale\"><span class=\"ez-toc-section\" id=\"Analisi_comportamentale\"><\/span>Analisi comportamentale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Innanzitutto, quello che vediamo \u00e8 un eseguibile Windows a 32 bit con un&#8217;icona che ricorda un regalo. Non \u00e8 uno scherzo cinico degli aggressori, ma solo un&#8217;icona standard per un progetto GUI di Visual Studio.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"98\" height=\"111\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2022\/03\/sample.png\" alt=\"\" class=\"wp-image-57196\"\/><figcaption><em>Icona utilizzata da HermeticWiper<\/em><\/figcaption><\/figure><\/div>\n\n\n\n<p>Deve essere eseguito come amministratore per funzionare e non prevede tecniche di bypass dell&#8217;UAC. Come scopriremo in seguito, anche il nome del campione incide (leggermente) sulla sua funzionalit\u00e0; se il nome inizia con &#8220;c&#8221; (o &#8220;C&#8221;, poich\u00e9 viene automaticamente convertito in minuscolo) il sistema si riavvier\u00e0 anche dopo l&#8217;esecuzione.<\/p>\n\n\n\n<p>Una volta eseguito, funziona silenziosamente in background. Per diversi minuti potremmo non notare nulla di sospetto.<\/p>\n\n\n\n<p>Solo se lo osserviamo utilizzando strumenti come Process Explorer, possiamo notare alcune azioni insolite. Chiamate varie a IOCTL, relativi al recupero dei dettagli sui dischi:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"328\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2022\/03\/create_and_delete-1024x328.png\" alt=\"\" class=\"wp-image-57198\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2022\/03\/create_and_delete-1024x328.png 1024w, https:\/\/alground.com\/site\/wp-content\/uploads\/2022\/03\/create_and_delete-300x96.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2022\/03\/create_and_delete-768x246.png 768w, https:\/\/alground.com\/site\/wp-content\/uploads\/2022\/03\/create_and_delete.png 1079w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption><em>Esempio di azioni eseguite da HermeticWiper, visto in ProcessMonitor<\/em><br><\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"in-che-modo-hermeticwiper-infetta-i-computer\"><span class=\"ez-toc-section\" id=\"In_che_modo_HermeticWiper_infetta_i_computer\"><\/span>In che modo HermeticWiper infetta i computer?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>In almeno un caso, HermeticWiper \u00e8 stato distribuito ai PC Windows di un&#8217;intera organizzazione tramite criteri di gruppo di Active Directory, secondo ESET.<\/p>\n\n\n\n<p>Le prove suggeriscono che le organizzazioni infette potrebbero essere state compromesse tramite attacchi addirittura di mesi prima. Il punto di ingresso iniziale utilizzato dagli aggressori contro le organizzazioni era lo sfruttamento di vulnerabilit\u00e0 senza patch sui server pubblici.<\/p>\n\n\n\n<p>Il 15 gennaio 2022, Microsoft ha annunciato l&#8217;identificazione di una sofisticata operazione di malware destinata a pi\u00f9 organizzazioni in Ucraina. Il malware, noto come WhisperGate, ha due fasi che corrompe il record di avvio principale di un sistema, visualizza una nota ransomware falsa e crittografa i file in base a determinate estensioni di file. Sebbene durante l&#8217;attacco venga visualizzato un messaggio di ransomware, Microsoft ha evidenziato che i dati presi di mira vengono distrutti e non sono recuperabili anche se viene pagato un riscatto.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"migliori-pratiche-per-la-difesa\"><span class=\"ez-toc-section\" id=\"Migliori_pratiche_per_la_difesa\"><\/span><strong>Migliori pratiche per la difesa<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Come notato in precedenza, il malware distruttivo pu\u00f2 rappresentare una minaccia diretta per le operazioni quotidiane di un&#8217;organizzazione, con un impatto sulla disponibilit\u00e0 di risorse e dati critici.\u00a0Le organizzazioni dovrebbero aumentare la vigilanza e valutare le proprie capacit\u00e0, comprendendo pianificazione, preparazione, rilevamento e risposta, per un tale evento.\u00a0<\/p>\n\n\n\n<p>La CISA e l&#8217;FBI esortano tutte le organizzazioni ad attuare le seguenti raccomandazioni per aumentare la propria resilienza informatica contro questa minaccia.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"potenziali-vettori-di-distribuzione\"><span class=\"ez-toc-section\" id=\"Potenziali_vettori_di_distribuzione\"><\/span><strong>Potenziali vettori di distribuzione<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Il malware pu\u00f2 utilizzare strumenti di comunicazione diffusi per diffondersi, inclusi worm inviati tramite e-mail e messaggi istantanei, cavalli di Troia rilasciati da siti Web e file infetti da virus scaricati da connessioni peer-to-peer.\u00a0Il malware cerca di sfruttare le vulnerabilit\u00e0 esistenti sui sistemi per un accesso semplice e silenzioso.<\/p>\n\n\n\n<p>Il malware ha la capacit\u00e0 di colpire un&#8217;ampia gamma di sistemi e pu\u00f2 essere eseguito su pi\u00f9 sistemi in una rete.&nbsp;Di conseguenza, \u00e8 importante che le organizzazioni valutino il loro ambiente per i canali atipici per la distribuzione e\/o la propagazione del malware nei loro sistemi.&nbsp;I sistemi da valutare includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Applicazioni aziendali, in particolare quelle che hanno la capacit\u00e0 di interfacciarsi direttamente con pi\u00f9 host ed endpoint e avere un impatto.&nbsp;Esempi comuni includono:<ul><li>Sistemi di gestione delle patch,<\/li><li>Sistemi di gestione patrimoniale,<\/li><li>Software di teleassistenza (tipicamente utilizzato dall&#8217;help desk aziendale),<\/li><li>software antivirus (AV),<\/li><li>Sistemi assegnati al personale amministrativo di sistema e di rete,<\/li><li>Server di backup centralizzati e<\/li><li>Condivisioni di file centralizzate.<\/li><\/ul><\/li><\/ul>\n\n\n\n<p>Sebbene non siano applicabili solo al malware, gli attori delle minacce potrebbero compromettere risorse aggiuntive per influire sulla disponibilit\u00e0 di dati e applicazioni critici.&nbsp;Esempi comuni includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Dispositivi di archiviazione centralizzati<ul><li>Rischio potenziale: accesso diretto a partizioni e data warehouse.<\/li><\/ul><\/li><li>Dispositivi di rete<ul><li>Rischio potenziale: capacit\u00e0 di inserire false route all&#8217;interno della tabella di routing, eliminare route specifiche dalla tabella di routing, rimuovere\/modificare attributi di configurazione o distruggere firmware o file binari di sistema, il che potrebbe isolare o ridurre la disponibilit\u00e0 di risorse di rete critiche.<\/li><\/ul><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Il giorno prima dell&#8217;invasione dell&#8217;Ucraina da parte delle forze russe il 24 febbraio, \u00e8 stato scoperto che un nuovo wiper scatenato contro un certo numero di entit\u00e0 ucraine. A questo malware \u00e8 stato assegnato il nome &#8220;HermeticWiper&#8221; sulla base di un certificato digitale rubato da una societ\u00e0 chiamata Hermetica Digital Ltd. Questo wiper \u00e8 notevole [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":55180,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"pmpro_default_level":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1413,387],"tags":[],"class_list":{"0":"post-57192","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-guide-sicurezza","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2020\/01\/malware.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/57192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=57192"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/57192\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/55180"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=57192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=57192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=57192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}