Rilevamento del Malware HermeticWiper: Avviso di CISA e FBI su Nuovi Attacchi Informatici Distruttivi che Prendono di Mira le Organizzazioni Ucraine

[post-views]
Marzo 02, 2022 · 4 min di lettura
Rilevamento del Malware HermeticWiper: Avviso di CISA e FBI su Nuovi Attacchi Informatici Distruttivi che Prendono di Mira le Organizzazioni Ucraine

Il 13 gennaio 2022, un devastante attacco informatico ha colpito l’Ucraina, compromettendo le risorse online del governo del paese, in cui gli aggressori hanno sfruttato un nuovo malware cancellatore di dati noto come WhisperGate. Subito dopo questo incidente di grande impatto, il 23 febbraio, gli analisti della sicurezza informatica hanno rivelato un altro malware distruttivo che prende di mira le organizzazioni ucraine denominato HermeticWiper. Questo nuovo malware cancellatore compromette i dispositivi Windows controllando il master boot record, il che porta a ripetuti fallimenti di avvio.

Rilevamento e Mitigazione del Malware HermeticWiper

Per rilevare l’attività malware malevola associata a HermeticWiper e proteggere tempestivamente l’infrastruttura dell’organizzazione, i professionisti della sicurezza possono scaricare le più recenti rilevazioni basate su Sigmasviluppate con l’aiuto dell’iniziativa di crowdsourcing di SOC Prime, il Threat Bounty Program, che include i suoi sviluppatori esperti, Emir Erdoan and Antonio Farina. Tutti i contenuti specializzati relativi al rilevamento sono disponibili per il download sulla piattaforma Detection as Code di SOC Prime:

Disabilitazione di CrashDumps tramite il registro (HermeticWiper)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.

La regola Sigma è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tecnica principale Impair Defenses (T1562) e la sotto-tecnica Disable or Modify Tools (T1562.001).

Rileva possibili HermeticWiper attraverso l’installazione specifica del Driver

Questa regola Sigma ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Apache Kafka ksqlDB.

Il 26 febbraio 2022, l’Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA) e il Federal Bureau of Investigation (FBI) hanno emesso un avviso congiunto avvertendo le organizzazioni dell’attività malevola associata a WhisperGate e HermeticWiper. L’avviso fornisce raccomandazioni e linee guida su come proteggere l’infrastruttura aziendale contro i potenziali exploit di questi infami ceppi di malware cancellatori di dati. La mitigazione di HermeticWiper coinvolge i seguenti passi mirati a potenziare la resilienza della cybersicurezza nelle organizzazioni:

  1. Monitoraggio continuo e scansione regolare tramite programmi antivirus e antimalware
  2. Sfruttamento di software di filtro antispam per prevenire email di spear-phishing
  3. Applicazione di filtri al traffico di rete
  4. Esecuzione di aggiornamenti software programmati
  5. Abilitazione dell’autenticazione multi-fattore

Analisi di HermeticWiper

Il malware, denominato HermeticWiper, deriva dal nome di una società che ha rilasciato una firma digitale HermeticWiper per il campione. I ricercatori presumono che gli hacker abbiano sfruttato uno shell o una società inoperativa per emettere il certificato.

Nel processo di distribuzione di HermeticWiper, simula un software su misura, con funzionalità limitate. Il campione è di 114KB, con risorse che rappresentano circa il 70% del carico. Gli avversari stanno usando un approccio classico di malware cancellatore che sfrutta un driver di partizione innocuo per eseguire gli elementi più dannosi delle loro operazioni. Si sa che diversi gruppi di hacker hanno abusato di EldoS RawDisk per l’accesso diretto ai file a livello utente, superando le API di Windows. Quando il malware viene eseguito, attiva SeBackupPrivilege, garantendo agli aggressori accesso di lettura ai file. HermeticWiper successivamente aggiunge SeLoadDriverPrivilege, che gli consente di caricare e scaricare driver di dispositivo, nonché SEShutdownPrivilege, permettendogli di spegnere il sistema compromesso. Una volta spento, non è possibile gestire il processo di avvio. Non è stata ancora identificata alcuna funzionalità aggiuntiva oltre le capacità cancellatrici del malware.

Unisciti alla piattaforma Detection as Code di SOC Prime per potenziare le tue capacità di rilevamento delle minacce con la forza dell’esperienza globale in cybersecurity. Cerchi modi per contribuire al tuo contenuto di rilevamento e guidare la difesa cibernetica collaborativa? Unisciti all’iniziativa di crowdsourcing di SOC Prime per inviare le tue regole Sigma e YARA, farle pubblicare sulla piattaforma, contribuire a un cyberspazio più sicuro e ricevere premi ricorrenti per il tuo contributo!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie