Ricercatori specializzati in sicurezza hanno individuato un nuovo “wiper” (un malware che elimina tutto quello che trova rendendo impossibile il ripristino) in azione in Ucraina dopo l’invasione russa.
Il malware, denominato CaddyWiper, è stato individuato dai ricercatori slovacchi di ESET; stando a quanto riferiscono quest’ultimi, il malware elimina i dati degli utenti e informazioni sulle partizioni di qualsiasi drive collegato alla macchina compromessa. I file presenti sulla macchina vengono corrotti sovrascrivendo questi con sequenze di caratteri nulli, al fine di impedire il ripristino.
Se il wiper riesce ad attivarsi nel sistema target, questo diventa inutilizzabile, ha spiegato Jean-Ian Boutin – ricercatore che si occupa di minacce per ESET – riferendo ancora che non è al momento chiaro l’impatto complessivo di questa tipologia di attacco.
Per il momento i casi segnalati non sembrano essere molti; pochi giorni addietro è stato ad ogni modo evidenziata la diffusione di un diverso wiper, denominato “IsaacWiper”, anche qeuato pensato specificatamente per aggredire le organizzazioni ucraine.
Sono stati notati solo ora ma sia IsaacWiper, sia HermeticWiper, sarebbero stati sviluppati da mesi. I wiper (dall’inglese to wipe, cancellare) sono tipicamente pensati per cancellare le informazioni alla base dei sistemi di controllo industriali (es. hardware e software che controllano la rete elettrica o i processi di fabbricazione) e sono particolarmente pericolosi per infrastrutture critiche e governi che dovrebbero costantemente monitorare, controllare e addestrare il personale a riconoscere potenziali minacce.
Al momento non abbiamo visto concretizzarsi una cyberguerra su larga scala ma attacchi di varia natura sono stati portati a termine con successo sia da parte dei russi, sia da parte degli ucraini.
Varie organizzazioni in tutto il mondo, incluso il nostro CSIRT (Computer Security Incident Response Team) sottolineano rischi derivanti dalla situazione ucraina; in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente, la raccomandazione è quella di elevare il livello di attenzione adottando in via prioritaria, e predisporre azioni di mitigazione (backup che consentono il ripristino, implementazioni di zone demilitarizzate per la connettività, incremento delle attività di monitoraggio e logging, ecc.).
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.