Il cyberattacco che nella notte tra il 13 e il 14 gennaio ha colpito diversi siti governativi ucraini, facendo apparire il messaggio “Abbiate paura e aspettatevi il peggio”, avrebbe un autore preciso: “Tutte le prove indicano che dietro l’attacco informatico c’è la Russia“. E’ quanto si legge in una nota del ministero della Trasformazione digitale dell’Ucraina, secondo cui “Mosca continua a condurre una guerra ibrida che va avanti dal 2014”, assicurando tuttavia i cittadini sulla sicurezza dei loro dati personali. Lo scopo dell’attacco, secondo il ministero di Kiev, “è non solo di intimidire la società ma anche di destabilizzare la situazione in Ucraina, fermando il lavoro del settore pubblico e facendo crollare la fiducia degli ucraini nelle autorità“.
Mosca, dal canto suo, ha ripetutamente negato il coinvolgimento. Nel 2017, la Russia fu accusata del massiccio attacco ransomware NotPetya, che prese di mira istituzioni governative, finanziarie ed energetiche in Ucraina e causò danni per oltre 10 miliardi di dollari in tutto il mondo.
Colpite strutture governative critiche
A seguito del cyberattacco, dozzine di reti informatiche delle agenzie governative ucraine sono state infettate con un malware che può mettere i dispositivi ko. In un post ufficiale, Microsoft spiega che “il virus malevolo ha preso di mira diverse organizzazioni in Ucraina, comprese le agenzie governative che assolvono a funzioni critiche o sono in prima linea nelle emergenze. Se attivato, il malware rende i computer inutilizzabili”. Ad essere colpita anche “un’azienda informatica che gestisce siti web per clienti del settore pubblico e privato, comprese le agenzie governative i cui siti web sono stati recentemente danneggiati”. “I nostri team investigativi hanno identificato il malware su dozzine di sistemi interessati e quel numero potrebbe aumentare man mano che le nostre indagini continuano”, afferma Microsoft.
La tech giant di Redmond ha affermato di non essere in grado di valutare l’intento dell’attività cybercriminale né di poter identificare caratteristiche precise che la colleghino ad attori delle minacce. Inoltre non ha identificato l’azienda di information technology coinvolta. “Il malware è mascherato da ransomware ma, se attivato dall’attaccante, rende il sistema informatico infetto inutilizzabile“, spiega. “Stiamo condividendo queste informazioni per aiutare gli altri nella comunità di cybersicurezza a cercare e difendersi da questi attacchi. In questo momento, non abbiamo identificato una consistente sovrapposizione tra le caratteristiche del gruppo dietro questi attacchi e i gruppi che abbiamo tradizionalmente monitorato, ma continuiamo ad analizzare l’attività”, conclude il blog post.
