ESET Research ha rilevato un cyberattacco indirizzato verso diverse organizzazioni in Ucraina che ha coinvolto un nuovo malware per la cancellazione dei dati denominato HermeticWiper e ha colpito centinaia di computer in rete. L’attacco è stato sferrato poche ore dopo una serie di attacchi DDoS (distributed denial-of-service) che hanno messo fuori uso importanti siti web nel paese.
Rilevato dai sistemi ESET come Win32/KillDisk.NCV, il data wiper è stato individuato poco prima delle 5 p.m. ora locale (3 p.m. UTC) di mercoledì 23 febbraio 2022. Il timestamp del wiper, nel frattempo, mostra che è stato compilato il 28 dicembre 2021, suggerendo che l’attacco potrebbe essere in circolazione da qualche tempo.
Il nuovo malware HermeticWiper ha sfruttato abusivamente i driver legittimi di un popolare software di gestione del disco. “Il wiper sfrutta i driver del software EaseUS Partition Master per corrompere i dati”, spiegano i ricercatori di ESET.
Inoltre, gli aggressori hanno utilizzato un autentico certificato di firma del codice rilasciato a una società con sede a Cipro chiamata Hermetica Digital, da cui il nome del wiper.
Sembra anche che, almeno in un caso, gli attori della minaccia abbiano avuto accesso alla rete della vittima prima di scatenare il nuovo malware.
Nelle prime ore del 23 febbraio 2022, un certo numero di siti web ucraini sono stati mandati offline in una nuova ondata di attacchi DDoS che hanno preso di mira il Paese per settimane.
A metà gennaio, un altro attacco di rimozione di dati aveva travolto l’Ucraina. Denominato WhisperGate, il wiper si era mascherato da ransomware portando con sé alcuni elementi dell’attacco NotPetya che ha colpito l’Ucraina nel giugno 2017 prima di causare il caos in tutto il mondo.