Symantec ha fornito maggiori dettagli sull’attacco informatico contro l’Ucraina che ha preceduto l’invasione da parte della Russia. La software house ha scoperto che un ransomware è stato sfruttato come esca o diversivo per gli attacchi effettuati con HermeticWiper.
Cyberattacco combinato contro l’Ucraina
Un primo attacco distruttivo contro varie organizzazioni ucraine era stato effettuato con il malware WhisperGate circa un mese fa. Quello di ieri è stato eseguito con HermeticWiper (o Trojan.Killdisk) contro diverse aziende che operano nei settori IT, finanza, aviazione e difesa.
I cybercriminali hanno sfruttato una vulnerabilità di Microsoft Exchange Server per rubare le credenziali, installare una web shell e quindi distribuire il wiper. È stata colpita anche un’azienda lituana, ma in questo caso gli autori dell’attacco hanno sfruttato un bug di Tomcat. Symantec ha scoperto che, quasi contemporaneamente al wiper, sui computer delle aziende ucraine è stato copiato un ransomware (HermeticRansom).
Ovviamente i file sono stati cifrati e sullo schermo è apparso il tradizionale messaggio che indica gli indirizzi email da contattare per ricevere il decryptor. Non viene specificato però l’entità del riscatto (quasi certamente verrà comunicato successivamente). I prodotti di Symantec per le aziende rilevano e bloccano HermeticWiper, ma altri attacchi potrebbero essere effettuati nelle prossime ore.
Al momento non sono noti gli autori degli attacchi. Gli Stati Uniti e il Regno Unito hanno invece attribuito l’attacco DDoS della scorsa settimana al GRU (Direttorato principale per l’intelligence della federazione russa). È quindi molto probabile che gli autori siano gli stessi.
Aggiornamento (4/03/2022): Avast ha rilasciato un decryptor gratuito per HermeticRansom.