Il malware che ha cancellato decine di sistemi informatici governativi in Ucraina a partire dal 13 gennaio condivide alcune somiglianze strategiche con il tergicristallo NotPetya che è stato utilizzato per attaccare l'Ucraina nel 2017 e ha finito per causare quasi 10 miliardi di dollari di danni in tutto il mondo, i ricercatori hanno detto venerdì.

L'analisi, dalla divisione di threat intelligence Talos di Cisco, dice che l'episodio NotPetya dovrebbe servire come avvertimento che qualsiasi organizzazione con connessioni all'Ucraina dovrebbe "considerare attentamente come isolare e monitorare tali connessioni per proteggersi da potenziali danni collaterali".

L'avvertimento arriva mentre l'accumulo militare lungo il confine dell'Ucraina con la Russia continua e le preoccupazioni che la Russia sta progettando di invadere il suo vicino, un'affermazione che il governo russo nega. Il 14 gennaio circa 80 siti web di agenzie governative ucraine sono stati deturpati, ottenendo titoli in tutto il mondo. Anche se quell'attacco è stato relativamente semplice e i siti sono stati ripristinati in breve tempo, il malware noto come WhisperGate ha cancellato sette stazioni di lavoro in un'agenzia di computer e una combinazione di stazioni di lavoro e server in una seconda agenzia, un funzionario del governo ucraino ha detto al giornalista di cybersecurity Kim Zetter.

Questi attacchi includevano una richiesta di 10.000 dollari in Bitcoin, ma le richieste di riscatto erano un espediente per offuscare l'intento distruttivo del malware. I ricercatori di Talos hanno scritto venerdì che WhisperGate era simile in quanto, anche, mascherato come un ransomware mentre prendeva di mira e distruggeva il master boot record (MBR) invece di crittografarlo. Ma una differenza chiave è che WhisperGate ha "più componenti progettati per infliggere ulteriori danni".

Gli aggressori dietro WhisperGate hanno usato credenziali rubate per ottenere l'accesso iniziale ai sistemi, i ricercatori hanno valutato, e probabilmente hanno avuto accesso alla rete della vittima per mesi prima dell'attacco, "una caratteristica tipica delle sofisticate operazioni advanced persistent threat (APT)". Talos ha riferito giovedì che gli aggressori hanno avuto accesso ai sistemi di destinazione fino alla fine dell'estate del 2021.

WhisperGate deve ancora essere formalmente attribuito, ma le autorità in Ucraina hanno puntato il dito contro gli hacker associati alla Bielorussia e alla Russia.

I ricercatori hanno notato venerdì che la deturpazione di 80 siti governativi e anche gli attacchi wiper non sono, da soli, allarmanti considerando che l'Ucraina è stata considerata un "laboratorio di prova" per i cyberattacchi e gli strumenti russi per anni. "Infatti, se non fosse per l'ovvio aumento delle tensioni geopolitiche nella regione, considereremmo semplicemente l'inverno in Ucraina", hanno scritto i ricercatori, aggiungendo che hanno "visto questo tipo di attività per anni" e "non vediamo alcun motivo di panico a causa di questi eventi".

Tuttavia, i ricercatori esortano i difensori della rete a prestare attenzione agli avvertimenti del 18 gennaio dell'Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture del Dipartimento di Homeland Security per prendere provvedimenti per ridurre la probabilità di attacchi ai loro sistemi che causano gravi danni. Il National Cyber Security Centre del Regno Unito e il Canadian Centre for Cyber Security hanno emesso avvertimenti simili nei giorni scorsi.

Il danno causato da NotPetya è istruttivo ora, dicono i ricercatori.

"In quel caso, un attacco che aveva lo scopo di punire l'Ucraina ha avuto un impatto globale ad ampio raggio", hanno scritto. "Qualsiasi organizzazione che ha qualsiasi tipo di connessione commerciale con l'Ucraina potrebbe essere colpita".

Fonte: cyberscoop