Sabato il team di sicurezza informatica di Microsoft ha rivelato di aver identificato le prove di una nuova operazione hacker basata su malware che prende di mira entità governative, senza scopo di lucro e informatiche in Ucraina nel bel mezzo di tensioni geopolitiche tra il paese e la Russia.

Il malware è camuffato da ransomware ma, se attivato dall’attaccante, renderebbe inutilizzabile il sistema informatico infetto“, ha affermato Tom Burt, vicepresidente del settore sicurezza di Microsoft , aggiungendo che le intrusioni erano rivolte alle agenzie governative con funzioni critiche del ramo esecutivo e di risposta alle emergenze.

Viene presa di mira anche un’azienda IT che “gestisce siti Web per clienti del settore pubblico e privato, comprese le agenzie governative i cui siti Web sono stati recentemente cancellati “, ha osservato Burt.

Il gigante informatico, che per primo ha rilevato il malware il 13 gennaio, ha attribuito gli attacchi a un cluster di minacce emergente denominato ” DEV-0586 “, senza che si siano osservate sovrapposizioni nelle tattiche e nelle procedure con altri gruppi precedentemente documentati. Ha inoltre affermato che il malware è stato trovato su dozzine di sistemi, un numero che prevede aumenterà man mano che le indagini continuano.

Secondo Microsoft Threat Intelligence Center (MSTIC) e Microsoft Digital Security Unit (DSU), la catena di attacco è un processo in due fasi che comporta:

  • Sovrascrivere il Master Boot Record ( MBR ), il primo settore di qualsiasi disco rigido che identifica dove si trova il sistema operativo nel disco in modo che possa essere caricato nella RAM di un computer, sul sistema di una vittima per visualizzare una falsa richiesta di riscatto sollecitando il obiettivo di pagare un importo di $ 10.000 a un portafoglio bitcoin
  • Un eseguibile di seconda fase che recupera un malware corruttore di file ospitato su un canale Discord progettato per cercare file con 189 estensioni diverse, quindi sovrascriverne irrevocabilmente il contenuto con un numero fisso di byte 0xCC e rinominare ogni file con quattro byte apparentemente casuali estensione.

L’attività dannosa è “incoerente” con l’attività di ransomware dei criminali informatici per motivi che “gli importi dei pagamenti espliciti e gli indirizzi dei portafogli di criptovaluta sono raramente specificati nelle moderne note di riscatto criminale” e “la richiesta di riscatto in questo caso non include un ID personalizzato”, ha affermato Microsoft.

Lo sviluppo arriva quando numerosi siti web governativi nel paese dell’Europa orientale sono stati deturpati venerdì con un messaggio che avverte gli ucraini che i loro dati personali venivano caricati su Internet. Il servizio di sicurezza dell’Ucraina (SSU) ha affermato di aver trovato “segni” di coinvolgimento di gruppi di hacker associati ai servizi di intelligence russi.

I ricercatori dichiarano: “Data la portata delle intrusioni osservate, MSTIC non è in grado di valutare l’intento delle azioni distruttive identificate, ma ritiene che queste azioni rappresentino un rischio elevato per qualsiasi agenzia governativa, no-profit o impresa con sede o con sistemi in Ucraina”.

Tuttavia, oggi Reuters ha sollevato la possibilità che gli attacchi possano essere stati opera di un gruppo di spionaggio collegato all’intelligence bielorussa che è stato rintracciato come UNC1151 e Ghostwriter. 

“L’UNC1151 ha condotto significative intrusioni nelle entità del governo ucraino”, ha rivelato la società di sicurezza informatica Mandiant ha divulgato un rapporto nel novembre 2021, sottolineando che le operazioni del gruppo sono in linea con gli interessi del governo bielorusso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

error: Content is protected !!