Lavi Lazarovitz, Head of Security Research, CyberArk Labs;
“I CyberArk Labs hanno seguito l’emergere del malware wiper, definito HermeticWiper, che prende di mira le infrastrutture dell’Ucraina. Finora, il nostro team ha identificato alcune caratteristiche specifiche che rendono questo malware unico, tra cui attacchi molto mirati in natura e infezioni osservate fino a oggi che sfruttano le identità compromesse per muoversi lateralmente, azioni che portano al potenziale per un forte punto di appoggio iniziale in base alla loro natura. In particolare, la distribuzione del wiper non sembra sfruttare le vulnerabilità della catena di approvvigionamento o altre tecniche “super-spreader”, il che significa che l’infezione non si diffonderà rapidamente in altre aree geografiche. Come riportato in un caso, il ransomware si è distribuito utilizzando la policy di gruppo di Active-Directory, il che significa che gli attaccanti avevano accesso privilegiato ad AD. Questo scenario è più comunemente usato in azioni mirate e gestite da persone (come nel caso di Kaseya).
È importante notare che il wiper sfrutta privilegi elevati sull’host compromesso per renderlo “non avviabile”, sovrascrivendo i record di avvio e le configurazioni, cancellare le configurazioni dei dispositivi ed eliminare le copie shadow (backup). Sembra che il wiper sia configurato per non crittografare i controller di dominio – cioè per mantenere il dominio in funzione e permettere al ransomware di utilizzare credenziali valide per autenticarsi ai server e crittografarli. Questo evidenzia ulteriormente che gli attori della minaccia utilizzano identità compromesse per accedere alla rete e/o muoversi lateralmente.”
