Il gruppo di hacker russo conosciuto come ‘Sandworm’ è stato identificato come colpevole di un attacco alle reti statali ucraine, dove hanno utilizzato WinRar per cancellare i dati dai dispositivi governativi. Il team di risposta agli incidenti informatici del governo ucraino (CERT-UA) ha rivelato che gli hacker hanno sfruttato account VPN compromessi privi di autenticazione multifattore per ottenere l’accesso ai sistemi critici delle reti statali. Una volta all’interno, hanno utilizzato script che sfruttavano il programma di archiviazione WinRar per cancellare i file sia su macchine Windows che Linux. Sandworm ha utilizzato uno script BAT chiamato ‘RoarBat’ su Windows, che individuava tipi di file specifici e li archiviava automaticamente utilizzando l’opzione “-df” della riga di comando di WinRar che cancellava i file durante il processo di archiviazione. Su Linux, hanno utilizzato uno script Bash che sfruttava l’utilità “dd” per sovrascrivere i tipi di file di destinazione con byte zero. L’attacco presenta somiglianze con un attacco distruttivo precedente contro l’agenzia di stampa statale ucraina nel gennaio 2023, attribuito anche a Sandworm. CERT-UA raccomanda varie misure di sicurezza per le organizzazioni critiche, tra cui ridurre la superficie di attacco, correggere le vulnerabilità, disabilitare i servizi non necessari, limitare l’accesso e implementare l’autenticazione multifattore per gli account VPN.
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.
Source: Bleeping Computer