Aggiornamenti recenti Aprile 23rd, 2024 2:00 PM
Mar 10, 2017 Marco Schiaffino Apt, In evidenza, Malware, Minacce, News, RSS 0
Programmati per esfiltrare informazioni dai computer infetti e poi fare piazza pulita di tutti i dati presenti sul PC, cancellandoli. I due malware che adottano questa curiosa tattica si chiamano Shamoon e Stonedrill, ma è ancora presto per capire se tra i due ci sia davvero un legame.
Shamoon è comparso per la prima volta nel 2012, nel corso di una campagna che ha preso di mira la Saudi Aramco, una compagnia petrolifera dell’Arabia Saudita. In quel caso il malware aveva colpito più di 30.000 computer, provocando seri danni ai sistemi dell’azienda.
Il malware è tornato a far parlare di sé alla fine del 2016, quando una nuova versione (battezzata Shamoon 2.0) è stata utilizzata per una serie di attacchi localizzata sempre in Medioriente.
Stonedrill, invece, è una novità. I ricercatori Kaspersky lo hanno individuato mentre stavano impostando le regole di Yara (uno strumento per l’identificazione e la classificazione dei malware – ndr) per individuare eventuali versioni ancora sconosciute di Shamoon.
Proprio alcune similitudini tra i due malware, che i ricercatori di Kaspersky hanno illustrato in un webinar dedicato alla stampa, hanno fatto in modo che Stonedrill facesse suonare un campanello di allarme quando è passato sotto la lente dei ricercatori.
Da un punto di vista tecnico, ad accomunare i due malware è solo il modus operandi. I due trojan agiscono allo stesso modo ma usando strumenti differenti: mentre Shamoon utilizza un driver per avviare la cancellazione del disco, Stonedrill usa una tecnica più raffinata, che prevede l’iniezione del codice nel browser predefinito dell’utente.
La nuova versione di Shamoon, inoltre, si distingue dal “collega” per la presenza di un modulo ransomware (inattivo negli esemplari studiati dai ricercatori) che può essere usato in alternativa al wiper. In questo caso, quindi, i dati sul computer infetto non vengono cancellati, ma semplicemente crittografati.
Considerando che i precedenti attacchi portati con Shamoon sembravano avere motivazioni di carattere ideologico-politico più che finanziarie, l’uso di questo tipo di attacco potrebbe non essere legato alla richiesta di un riscatto in denaro, ma piuttosto fungere da elemento di pressione nei confronti delle vittime.
Le differenze comprendono anche le modalità utilizzate dai pirati per gestire l’attività del malware: mentre Stonedrill prevede un sistema di comunicazione tramite server Command and Control, nel caso di Shamoon 2.0 questa funzionalità si attiva solo nel caso in cui venga utilizzato in modalità ransomware.
Ad accomunare Shamoon 2.0 e Stonedrill, però, sono alcune caratteristiche che fanno pensare agli esperti di Kaspersky che tra i due ci sia un legame. Entrambi hanno finora preso di mira bersagli in Arabia Saudita, anche se Stonedrill ha colpito anche un’azienda in Europa.
Analizzando il codice dei due malware inoltre, i ricercatori di Kaspersky hanno individuato elementi di testo in lingue diverse: in un dialetto yemenita per Shamoon e in persiano per Stonedrill, ma comunque indicative di una precisa area geografica.
StoneDrill, inoltre, sembra condividere ampie porzioni di codice con un altro malware conosciuto: NewsBeef. Si tratta di un APT (Advanced Persistent Threat) modulare, individuato nel 2016 sempre in Medioriente.
L’attribuzione di questi attacchi, in buona sostanza, rimane ancora difficile. E ad aggiungere elementi di incertezza arrivano anche le rivelazioni di WikiLeaks sui CIA Leaks.
In particolare con riferimento al gruppo Umbrage, che all’interno dell’agenzia si occupa di raccogliere strumenti e porzioni di codice di malware conosciuti per riutilizzarli negli strumenti “fatti in casa” della CIA.
Consultando il documento che elenca gli strumenti utilizzati dagli 007 americani, infatti, si scopre che il wiper di Shamoon è in elenco. E che la CIA possa avere interesse a operare in Medioriente non è così strano…
Apr 23, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Mar 29, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...