Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Dic 14, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0
Prendete una situazione geopolitica complicata come quella del Medioriente, aggiungete le tensioni per le fluttuazioni del prezzo del petrolio, completate con un pizzico di strategia e mescolate bene: ecco servito il nuovo capitolo della vicenda Shamoon.
Il malware, comparso per la prima volta sui radar delle società di sicurezza 6 anni fa, è un classico caso di cyber-warfare, che vede come protagonisti i paesi del Golfo. Questa volta, però, a farne le spese è stata un’azienda italiana come Saipem.
Come riporta un comunicato sul sito ufficiale dell’azienda, l’attacco è avvenuto lo scorso 10 dicembre e ha causato la cancellazione dei dati in alcune infrastrutture IT del gruppo. L’attacco, nel dettaglio, avrebbe colpito più di 35.000 computer nele sedi in Medioriente, Scozia, India e (in misura minore) Italia.
Shamoon da un punto di vista tecnico è un wiper, cioè un malware programmato per fare piazza pulita di tutti i dati memorizzati sul computer che colpisce. Uno strumento, quindi, non tanto pensato per lo spionaggio, quanto per il sabotaggio.
Il malware era stato utilizzato in passato per colpire Aramco, una società petrolifera saudita, e aveva fatto parlare di sé ancora nel 2016, quando una nuova versione del wiper aveva fatto la sua comparsa sempre in Medioriente.
Nel 2017 era comparso invece Stonedrill, un malware con caratteristiche molto qualcosa di simili (ne abbiamo parlato in questo articolo) mentre l’ultima azione di sabotaggio su larga scala, anche se con caratteristiche diverse, è stata quella di NotPetya, che ha però preso di mira principalmente l’Ucraina.
L’attacco a Saipem, però, sembra inserirsi in quello che potremmo chiamare il “filone originale” di Shamoon. Prima di tutto perché Saipem, nelle ultime settimane, sembra essere in pole position per aggiudicarsi alcune commesse in collaborazione con Aramco.
In secondo luogo perché il malware che ha colpito la società italiana è senza dubbio una variante del malware originale comparso nel 2012.
L’analisi degli esperti, sotto questo punto di vista, non lascia dubbi e le conferme arrivano anche da alcuni (strani) dettagli, come la presenza di una data di attivazione inserita nel codice del malware, ma che sarebbe impostata per una data (passata) piuttosto lontana: il 7 dicembre 2017 alle ore 23:51.
Insomma: l’impressione è che qualcuno abbia copiato il codice di un malware pensato per agire come una “bomba a orologeria” e abbia impostato il timer su una data già trascorsa per fare in modo che si attivasse subito.
Ott 02, 2023 0
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...