La situazione in Ucraina solleva molteplici criticità, in primis sull’aspetto umanitario e subito dopo sul tema cybersecurity, anche perché si sta delineando una visione precisa di una nuova tipologia di attacchi ibridi che in precedenza poteva solo essere teorizzata. SentinelOne mette a disposizione alcune risorse tecniche per sostenere le organizzazioni ucraine e in questo articolo viene fornita una descrizione delle varie minacce cyber analizzate nei propri laboratori e che sono state riscontrate dal conflitto in corso in Ucraina.
Fino a oggi è stato rilevato che gli aggressori utilizzano tre tattiche: Attacchi DDoS (Distributed Denial of Service), distruzioni di siti web e wipers dannosi. Mentre le tecniche adottate vengono considerate semplici ma con un buon livello di esecuzione, le tre tattiche, utilizzate insieme, presentano una forza destabilizzante nel limitare la disponibilità di informazioni e servizi ufficiali, sia a livello temporaneo che definitivo.
Attacchi Denial of Service
Nelle fasi iniziali di invasione, i siti governativi dell’Ucraina sono stati messi offline da attacchi DDOS. In particolare, il Ministero degli Affari Esteri, il Ministero della Difesa, il Ministero degli Affari Interni, i Servizi di Sicurezza e il Sistema finanziario dell’Ucraina hanno tutti subito un’interruzione del servizio. Il governo britannico ha attribuito gli eventi al GRU russo.
HeremeticWiper | Crippling System in Ucraina
Mercoledì 23 febbraio, mentre l’invasione fisica dell’Ucraina era in corso, i laboratori di SentinelOne hanno scoperto che le organizzazioni ucraine sono state prese di mira con un wiper soprannominato HermeticWiper in riferimento al certificato digitale utilizzato per contrassegnare il file. HermeticWiper sembra essere un’applicazione scritta ad hoc con poche funzioni standard, sfrutta il driver benigno EaseUS per accedere direttamente alle unità fisiche e ottenere informazioni sulle partizioni.
Il malware si concentra sulla corruzione dei primi 512 byte, il Master Boot Record (MBR), di ogni unità fisica. Mentre questo dovrebbe essere sufficiente per impedire a un dispositivo di avviarsi di nuovo, HermeticWiper procede a individuare e corrompere le partizioni per tutte le unità possibili. Il malware è anche in grado di distinguere tra partizioni FAT e NTFS e agire di conseguenza per causare il maggior danno, determinando un arresto del sistema e perfezionando l’effetto devastante del malware.
HermeticWiper è uno strumento “fire and forget”. Non ha alcun comando e controllo né capacità di auto-diffusione e gli aggressori hanno bisogno di ottenere l’accesso per distribuire il virus. Nei casi precedenti, gli hacker lo hanno gestito tramite GPO impostando un’attività pianificata per eseguire il wiper e il ransomware civetta. HermeticWiper è molto più completo, meglio sviluppato ed efficiente di WhisperGate, un virus distribuito in Ucraina a gennaio con una distribuzione piuttosto limitata. SentinelOne ritiene si tratti di due minacce distinte, create probabilmente da differenti programmatori.
Ransomware PartyTicket
PartyTicket è il nome che SentinelLabs ha assegnato al componente ransomware civetta degli attacchi HermeticWiper originali. Questo malware è stato analizzato mentre veniva indirizzato agli obiettivi insieme a HermeticWiper e si crede venga usato come distrazione mentre i dispositivi vengono cancellati.
Il ransomware è un’applicazione Golang personalizzata che interrompe i servizi e distrae i difensori. PartyTicket è estremamente fastidioso, generando centinaia di thread secondari, probabilmente con conseguente blocco involontario del servizio locale. Il codice personalizzato del programma è pieno di riferimenti ironici al governo degli Stati Uniti e all’amministrazione Biden.
Suggerimenti per CISO e CIO
Con l’evolversi della situazione, i team di SentinelOne e i SentinelLabs forniscono supporto a chi ne ha bisogno, condividendo ricerche, raccomandazioni e strumenti per essere sempre al passo con l’evoluzione del quadro delle minacce. SentinelOne offre anche 90 giorni di accesso gratuito alla propria piattaforma Singularity per le imprese in Ucraina.
Mentre le minacce sono state in gran parte contenute in Ucraina (con alcuni effetti di ricaduta nei paesi vicini), l’escalation delle tensioni geopolitiche e le sanzioni potrebbero incentiverare gli attacchi verso le nazioni occidentali. In linea con il recente advisory della CISA, SentinelOne esorta le organizzazioni ad adottare una postura di sicurezza più elevata e a prevedere misure preventive, tra cui:
- Assicurarsi che tutte le reti e gli endpoint siano protetti da una soluzione di sicurezza avanzata che possa prevenire, rilevare e rispondere ad attacchi noti e sconosciuti, così come prevedere il servizio di rollback in caso di attacco.
- Assicurarsi che i team SOC e IT siano costantemente aggiornati con le ultime informazioni sulle minacce e gli attacchi informatici all’Ucraina.
- Monitorare gli avvisi dal governo come gli alert della CISA e il bollettino Shields Up.
- Designare un team di risposta alle crisi con referenti informati sugli incidenti di cybersecurity.
- Verificare di avere un’assicurazione informatica, conoscerne la copertura e come attivare i servizi di risposta agli incidenti.
- Eseguire una simulazione per garantire che tutti comprendano i ruoli e le responsabilità, e quali azioni devono essere intraprese e quando.
- Prepararsi allo scenario peggiore e assicurarsi che sia in atto un piano di business continuity.
Conclusioni
Mentre il cyberspazio è diventato parte integrante delle nostre vite digitali, è entrato a far parte anche dei conflitti geopolitici. Man mano che sono disponibili maggiori capacità offensive, queste vengono utilizzate dai governi per la sorveglianza e la disinformazione. Nel bel mezzo di una guerra fisica, il cyber si conferma essere un’arma indispensabile per paralizzare i sistemi di difesa, creare il caos e destabilizzare una popolazione già sotto pressione.
L’obiettivo di SentinelOne è quello di mantenere i clienti al sicuro, condividendo le esperienze acquisite con coloro che ne hanno bisogno.
