2022, l'anno dei wiper: come criminali (e Stati) hanno usato il software come arma

Il 2022 ha visto un aumento significativo nell'impiego dei cosiddetti wiper, malware il cui scopo è quello di eliminare i dati. Contrariamente ai ransomware, pensati per portare un guadagno monetario agli attaccanti, i wiper sono progettati esclusivamente per fare danni. Un nuovo rapporto di Fortinet evidenzia come ci sia stata un'esplosione nell'uso dei wiper in concomitanza con l'aggressione russa dell'Ucraina.

I wiper come arma nella (cyber)guerra

La maggior parte dei wiper rilevati da Fortinet, come riportato in un articolo pubblicato sul sito dell'azienda, è stato impiegato contro organizzazioni ucraine: HermeticWiper, CaddyWIper, IsaacWiper, WhisperGate sono tutti nomi di wiper con obiettivi ucraini impiegati nella prima metà del 2022. È interessante notare, però, come alcuni wiper siano in realtà ransomware convertiti: di fatto, crittografare i dati senza salvare la chiave di cifratura equivale a cancellarli.

Un caso interessante rilevato da Fortinet è quello del wiper Azov, che sembra essere stato sviluppato da sostenitori dell'ucraina. È stato programmato direttamente in assembly, fatto altamente inusuale vista l'alta complessità che ne consegue, ed è progettato per creare codice polimorfico in grado di iniettarsi all'interno di eseguibili legittimi sulla macchina infetta. A quel punto esegue una funzione che abilita una backdoor e infetta ulteriori eseguibili, così da garantirsi la persistenza sulla macchina vittima. I programmatori hanno sfruttato molte tecniche avanzate per offuscare il codice e impedirne l'analisi.

Fortinet rileva anche come i criminali si siano dedicati maggiormente a ottimizzare le prestazioni dei propri programmi. Con la sempre maggiore coscienza che gli attacchi ransomware avvengono di continuo, sempre più organizzazioni si sono dotate di strumenti in grado di rilevarli: per questo diventa vitale per i criminali creare programmi in grado di cifrare quanto più velocemente possibile i dati delle vittime, così da fare la maggior quantità di danni prima di essere scoperti dai software di difesa. In questo contesto sono nate dunque diverse tecniche di ottimizzazione dei ransomware, ad esempio cifrando solo i primi 4096 byte di ciascun file (sufficienti a renderli di fatto irrecuperabili, in particolare quando sono coinvolte centinaia o migliaia di file) o cifrando alternativamente 666 byte sì e 666 byte no.

I wiper hanno colpito anche gli ambienti OT. Di nuovo Fortinet ne riporta l'uso in Ucraina, dove Industroyer.V2 è stato impiegato per rendere inoperabili delle centrali di distribuzione dell'elettricità. Il malware è stato usato insieme a CaddyWiper (per Windows), AWFULSHRED (per Linux e Unix) e SOLOSHRED (per Solaris).

Da ultimo, il wiper Endurance si fa invece notare per la sua natura open source. Si tratta di un wiper che, nelle intenzioni dello sviluppatore, dovrebbe diventare un ransomware; attualmente sembra che il codice non sia funzionale senza correzioni, ma la sua natura aperta fa sì che possa essere migliorato e usato ampiamente, in particolare da quei criminali che non avrebbero altrimenti le competenze per scrivere un proprio malware da sé.

Il 2022 è stato dunque un anno interessante per la molteplicità e la varietà di novità presenti nel panorama dei ransomware e dei wiper. A colpire sono in particolare Azov, per la sua sofisticatezza, ed Endurance, per via della sua natura open source. È interessante notare altresì come siano stati usati strumenti digitali come armi all'interno della guerra in Ucraina, in particolare da parte dell'aggressore russo: si tratta a tutti gli effetti della prima guerra in cui la componente digitale è stata fondamentale e ha, anzi, anticipato quella fisica, segno della sempre crescente importanza della tecnologia per il funzionamento delle nostre società e, dunque, della possibilità di usarla come arma.