Aggiornamenti recenti Settembre 16th, 2024 2:30 PM
Mar 10, 2017 Marco Schiaffino Apt, In evidenza, Malware, Minacce, News, RSS 0
Programmati per esfiltrare informazioni dai computer infetti e poi fare piazza pulita di tutti i dati presenti sul PC, cancellandoli. I due malware che adottano questa curiosa tattica si chiamano Shamoon e Stonedrill, ma è ancora presto per capire se tra i due ci sia davvero un legame.
Shamoon è comparso per la prima volta nel 2012, nel corso di una campagna che ha preso di mira la Saudi Aramco, una compagnia petrolifera dell’Arabia Saudita. In quel caso il malware aveva colpito più di 30.000 computer, provocando seri danni ai sistemi dell’azienda.
Il malware è tornato a far parlare di sé alla fine del 2016, quando una nuova versione (battezzata Shamoon 2.0) è stata utilizzata per una serie di attacchi localizzata sempre in Medioriente.
Stonedrill, invece, è una novità. I ricercatori Kaspersky lo hanno individuato mentre stavano impostando le regole di Yara (uno strumento per l’identificazione e la classificazione dei malware – ndr) per individuare eventuali versioni ancora sconosciute di Shamoon.
Proprio alcune similitudini tra i due malware, che i ricercatori di Kaspersky hanno illustrato in un webinar dedicato alla stampa, hanno fatto in modo che Stonedrill facesse suonare un campanello di allarme quando è passato sotto la lente dei ricercatori.
Da un punto di vista tecnico, ad accomunare i due malware è solo il modus operandi. I due trojan agiscono allo stesso modo ma usando strumenti differenti: mentre Shamoon utilizza un driver per avviare la cancellazione del disco, Stonedrill usa una tecnica più raffinata, che prevede l’iniezione del codice nel browser predefinito dell’utente.
La nuova versione di Shamoon, inoltre, si distingue dal “collega” per la presenza di un modulo ransomware (inattivo negli esemplari studiati dai ricercatori) che può essere usato in alternativa al wiper. In questo caso, quindi, i dati sul computer infetto non vengono cancellati, ma semplicemente crittografati.
Considerando che i precedenti attacchi portati con Shamoon sembravano avere motivazioni di carattere ideologico-politico più che finanziarie, l’uso di questo tipo di attacco potrebbe non essere legato alla richiesta di un riscatto in denaro, ma piuttosto fungere da elemento di pressione nei confronti delle vittime.
Le differenze comprendono anche le modalità utilizzate dai pirati per gestire l’attività del malware: mentre Stonedrill prevede un sistema di comunicazione tramite server Command and Control, nel caso di Shamoon 2.0 questa funzionalità si attiva solo nel caso in cui venga utilizzato in modalità ransomware.
Ad accomunare Shamoon 2.0 e Stonedrill, però, sono alcune caratteristiche che fanno pensare agli esperti di Kaspersky che tra i due ci sia un legame. Entrambi hanno finora preso di mira bersagli in Arabia Saudita, anche se Stonedrill ha colpito anche un’azienda in Europa.
Analizzando il codice dei due malware inoltre, i ricercatori di Kaspersky hanno individuato elementi di testo in lingue diverse: in un dialetto yemenita per Shamoon e in persiano per Stonedrill, ma comunque indicative di una precisa area geografica.
StoneDrill, inoltre, sembra condividere ampie porzioni di codice con un altro malware conosciuto: NewsBeef. Si tratta di un APT (Advanced Persistent Threat) modulare, individuato nel 2016 sempre in Medioriente.
L’attribuzione di questi attacchi, in buona sostanza, rimane ancora difficile. E ad aggiungere elementi di incertezza arrivano anche le rivelazioni di WikiLeaks sui CIA Leaks.
In particolare con riferimento al gruppo Umbrage, che all’interno dell’agenzia si occupa di raccogliere strumenti e porzioni di codice di malware conosciuti per riutilizzarli negli strumenti “fatti in casa” della CIA.
Consultando il documento che elenca gli strumenti utilizzati dagli 007 americani, infatti, si scopre che il wiper di Shamoon è in elenco. E che la CIA possa avere interesse a operare in Medioriente non è così strano…
Ago 28, 2024 0
Ago 26, 2024 0
Ago 07, 2024 0
Ago 05, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 12, 2024 0
I ricercatori di ReversingLabs hanno identificato alcune...