Continuano gli attacchi informativi contro aziende e reti governative dell’Ucraina. Gli esperti di ESET ha scoperto un malware “distruttivo” simile ad HermeticWiper, denominato IsaacWiper. Proofpoint ha invece individuato un attacco phishing contro il personale governativo europeo che fornisce supporto logistico ai rifugiati. Rilevati infine tentativi di truffe ai danni di utenti che donano criptovalute.
Wiper, phishing e scam
Il primo attacco distruttivo è stato eseguito con HermeticWiper, rendendo inutilizzabili centinaia di computer di almeno cinque organizzazioni ucraine. Per diffondere il wiper nelle reti aziendali (tramite SMB e WMI) è stato utilizzato il worm HermeticWizard. Il terzo componente è HermeticRansom, un ransomware sfruttato per cifrare i file e chiedere un riscatto.
Un altro attacco distruttivo è staso effettuato con IsaacWiper. ESET non ha identificato gli autori, ma non sembrano esserci correlazioni con HermeticWiper (quindi si tratta di cybercriminali appartenenti a gruppi distinti). La funzionalità è tuttavia identica: rendere inaccessibili i file su disco.
Gli esperti di Proofpoint hanno invece scoperto una campagna di spear phishing contro il personale governativo europeo che fornisce supporto logistico ai rifugiati. Le email, che sembrano provenire da membri delle forze armate ucraine, contengono in allegato una macro che nasconde il malware SunSeed, un downloader usato per scaricare altri malware da server remoti.
Non potevano infine mancare i truffatori che tentano di approfittare dell’occasione per rubare denaro alle ignare vittime. Il governo ucraino ha raccolto oltre 37 milioni di dollari in criptovalute. Qualcuno cerca di ingannare gli utenti con email, siti web e post sui forum che sembrano provenire dal movimento “Help Ukraine”. Si tratta invece di una truffa perché le donazioni finiscono nelle tasche dei cybercriminali.
Aggiornamento (4/03/2022): Avast ha rilasciato un decryptor gratuito per HermeticRansom.