La Russia usa 3 nuovi malware per la cyber warfare contro l’Ucraina: Sono IsaacWiper, HermeticWizard ed HermeticRansom

La cyber warfare della Russia sta usando tre nuove “armi” contro l’Ucraina: i malware IsaacWiper, HermeticWizard ed HermeticRansom. Lo denunciano gli esperti di cybersecurity del CSIRT-Italia. Il primo, anche noto come Lasainraw, viene distribuito tramite file “.EXE” o librerie “.DLL” e tipicamente depositato in “%programdata%” o “C:\Windows\System32”. Le sue principali peculiarità sono enumerare le unità fisiche presenti sul sistema, cancellare i primi 0x10000 byte di ciascun disco fisico rilevato, utilizzando il generatore pseudocasuale “ISAAC” ed enumerare le unità logiche e cancellare ricorsivamente i file in esse contenuti sovrascrivendoli con byte casuali tramite l’algoritmo “ISAAC PRNG”. Il secondo, alias Foxblade, è un Worm distribuito tramite file “.DLL” “Wizard.dll”, il cui compito principale è distribuire HermeticWiper tramite la riga di comando “regsvr32.exe /s /i <percorso_dll>“. Le principali peculiarità sono reperire gli IP delle macchine presenti nella rete locale e tentare di connettersi agli IP rilevati tramite connessioni TCP su una serie di porte per distribuire il “wiper” tramite i protocolli WMI o SMB.

HermeticRansom è un ransomware scritto in GO e distribuito tramite file exe

Il terzo malware usato dalla cyber warfare russa contro l’Ucraina, HermeticRansom, è noto anche come SonicVote, è scritto in Go ed è distribuito tramite i file cc2.exe, com.exe e cpin.exe. Peraltro, all’interno del codice malevolo sono state individuate stringhe che fanno riferimento agli Stati Uniti. Il ransomware, al termine del processo di crittografia, rilascia una nota di riscatto in cui si richiede alla vittima di contattare via mail gli attaccanti per ottenere le istruzioni per decriptare i file.