C'erano una volta gli attacchi ransomware che si limitavano a bloccare i dispositivi digitali e a chiedere il riscatto. Ora, invece, i veri pericoli arrivano dai wiper, capaci di rendere irreparabili capacità aziendali e di istituzioni pubbliche. Rappresentano una delle più grandi minacce per la sicurezza informatica di aziende e amministrazioni in tutto il mondo. Dimenticatevi i classici attacchi hacker o i soliti ransomware con la richiesta di riscatto. I veri pericoli per le nostre reti informatiche arrivano dai wiper, che ormai rappresentano una delle più grandi minacce per la sicurezza informatica di aziende e amministrazioni in tutto il mondo. La guerra tra Russia e Ucraina ne ha aumentato l’uso in tutto il mondo. Progettati per cancellare tutti i dati presenti sui sistemi informatici infettati con danni irreparabili alle attività aziendali e alle istituzioni pubbliche, questi strumenti di cyberattacco sono al centro del nuovo repport Swascan (Gruppo Tinexta) appena pubblicato con il patrocinio di Assintel e di ECSO – European Cyber Security Organization.Dal devastante NotPetya, utilizzato a partire dal 2017 colpendo organizzazioni in diversi settori in più di 65 paesi con danni per oltre 10 miliardi di dollari in tutto il mondo, ai più recenti e letali AcidRain, WhisperKill e IsaacWiper, sviluppati e usati nel corso del conflitto russo-ucraino per mettere fuori uso le infrastrutture digitali di Kiev, sono una quindicina i wiper presi in esame in questa analisi tecnica, che rivela la pericolosità di questi strumenti di vera e propria guerra informatica attraverso la puntuale e precisa disamina del loro funzionamento. L’obiettivo, come detto, è cancellare i dati dell'utente. I malware wiper vengono utilizzati per distruggere le reti di computer in aziende pubbliche o private che vanno dal settore industriale a quello dell’oil & gas. Hanno guadagnato popolarità inizialmente nel 2012, quando le compagnie petrolifere Saudi Aramco dell'Arabia Saudita e RasGas del Qatar furono prese di mira da parte di alcuni criminali. «L’antenato di quello che oggi come conosciamo come wiper era stato presumibilmente utilizzato nel 2012 in una serie di attacchi contro compagnie iraniane. Ma il primo vero e proprio malware con capacità wiper è stato Shamoon, attivo tra il 2012 e il 2016. Uno degli attacchi più diffusi, invece, risale al giugno 2017 con la famigerata ondata di infezioni NotPetya» si legge nel report. Ma il decisivo incremento di questi attacchi letali è avvenuto con il conflitto russo-ucraino. «Diverse organizzazioni e infrastrutture critiche in Ucraina – si legge infatti nel rapporto - sono state colpite da questa ondata di NotPetya, compresi i sistemi di monitoraggio delle radiazioni della centrale nucleare di Chernobyl. In particolare, il 24 febbraio 2022 il virus wiper chiamato AcidRain è stato utilizzato in un attacco informatico contro il servizio Internet satellitare di Viasat, che ha interessato diversi paesi, tra cui l'Italia».«SwiftSlicer, scoperto dai ricercatori di Fortinet il 25 gennaio 2023 – riporta ancora l’analisi di Swascan - è stato utilizzato per condurre un attacco informatico ad infrastrutture ucraine. Questo virus non ha come obiettivo il riscatto o la monetizzazione, ma solo la distruzione dei dati e il sabotaggio dei sistemi informatici. Il giorno prima dell'invasione dell'Ucraina da parte delle forze russe, il 24 febbraio 2022, è stato scoperto un nuovo wiper scatenato contro una serie di entità ucraine, conosciuto con il nome di "HermeticWiper", basato su un certificato digitale rubato da un'azienda chiamata Hermetica Digital Ltd”.Il rapporto presenta in una efficace tabella sintetica i dettagli relativi ai 13 wiper più noti attualmente in uso: Shamoon, il primo a essere utilizzato nel 2012 per attaccare le compagnie petrolifere Saudi Aramaco e RasGas; il nordcoreano Dark Seoul, che ha reso inutilizzabili circa 30.000 computer nei settori dei media e dei servizi finanziari della Corea del Sud; il già citato russo NotPetya; il nordcoreano Olympic Destroyer, mirato a ostacolare i servizi informatici delle Olimpiadi invernali del 2018 in Corea del Sud; Ordinypt/GermanWIper, che nel 2019 ha preso di mira le organizzazioni tedesche; l’iraniano Dustman, che nel 2019 ha attaccato la compagnia petrolifera nazionale del Bahrein; ZeroCleare, che nel 2020 ha preso di mira le aziende energetiche del Medio Oriente; i russi WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero e AcidRain che in varie fasi nel 2022 hanno colpito istituzioni e imprese ucraineL’indagine identifica tre principali “use case” di utilizzo dei wiper: spionaggio, sabotaggio e diversivo. La modalità di spionaggio prevede l'utilizzo dei wiper per rubare informazioni sensibili o segrete da un sistema informatico infetto. In questo caso, gli aggressori utilizzano il malware per eliminare le tracce del loro accesso ai sistemi dell'organizzazione, impedendo agli investigatori di scoprire come l'attacco sia stato effettuato e quali dati siano stati rubati. Non deve esser escluso neppure il suo impiego per attacchi false flag. In questo caso, un attore potrebbe utilizzare un malware wiper per condurre un attacco e far credere che sia stato perpetrato da un altro attore. La modalità di sabotaggio prevede l'utilizzo dei wiper per distruggere o danneggiare l'infrastruttura informatica di un paese o di un'organizzazione. In questo caso, gli attaccanti utilizzano il malware per cancellare o danneggiare i dati critici o le infrastrutture informatiche, causando gravi danni all'organizzazione o al paese colpito.Infine, la modalità diversiva prevede l'utilizzo dei wiper per mascherare altri attacchi informatici o per depistare gli investigatori. In questo caso, gli aggressori utilizzano il malware per eliminare le tracce dei loro veri obiettivi e delle loro attività, inducendo gli investigatori a seguire false piste e impedendo loro di scoprire l'attacco reale.«Gran parte dei malware wiper visti nella prima metà del 2022 – ricorda l'amministratore delegato di Swascan, Pierguido Iezzi - è stato distribuito contro organizzazioni ucraine. La crescita del malware wiper durante un conflitto non è una sorpresa. È difficile monetizzare, dunque si punta sulla distruzione, il sabotaggio e la guerra informatica. Piuttosto che essere utilizzato in modo isolato, un wiper viene spesso utilizzato nel contesto di un attacco più ampio. I wiper sono diventati di portata globale e un punto fermo nell'arsenale dei gruppi Apt, segnando un cambiamento nel modo in cui gli Stati operano e conducono le operazioni informatiche. Ma non solo, a breve potremmo assistere al loro impiego anche da parte di gruppi di hacktivisti, in lieu di braccio armato di attori ben più “pesanti” sul piano internazionali».