Attenzione: ecco i malware devasta hard-disk Shamoon 2.0 e StoneDrill

La security house Kaspersky ha segnalato la comparsa, anche in Europa, di due pericolosi malware, Shamoon 2.0 e StoneDrill, che - dopo aver infettato i computer, ed averne eluso le difese - procederebbero a cancellare radicalmente gli hard disk.

Attenzione: ecco i malware devasta hard-disk Shamoon 2.0 e StoneDrill

Benché il pubblico di massa sia quello che fa più “rumore mediatico”, gli hacker colpiscono anche (e specialmente) i grandi interessi, e le aziende di un certo calibro. A testimoniarlo è l’ultimo alert diffuso dai Kaspersky Lab, che ha segnalato la comparsa di due malware, Shamoon 2.0 e StoneDrill, particolarmente versati nel devastare gli hard disk.

Il primo malware, Shamoon 2.0, è l’evoluzione di un virus comparso per la prima volte nell’Agosto 2012, quando mise in ginocchio le piattaforme di calcolo della compagnia petrolifera Saudi Aramco, compromettendo – potenzialmente – il 10% dell’approvvigionamento petrolifero mondiale. In quell’occasione, durante la sua breve sortita (scomparve dopo aver colpito), Shamooon 1.0 devastò 35 mila workstation, cancellandone i dati, e rendendo le macchine inutilizzabili, dopo averne sovrascritto il master boot record. 

Proprio di questo malware, il Global Research and Analysis Team della security house Kaspersky ha ravvisato un’evoluzione che, al modus operandi del predecessore, aggiunge diverse “migliorie”: tra queste, oltre a un modulo ransomware, vi è anche il fatto che l’attività di “wiping”, o cancellazione radicale, viene attivata – sulla rete di terminali ormai presa di mira dopo un periodo di latenza – in modo quasi del tutto automatico, rendendo non necessaria la regolare comunicazione con un server di command-and-control esterno che, nel caso del precedente codice malevolo, poteva essere bloccato, vanificando o limitando la portata dell’attacco condotto. 

Oltre al virus testé citato, che da Novembre a oggi avrebbe colpito in almeno 3 ondate, i ricercatori del Kaspersy Team hanno rilevato anche l’azione di un malware dal codice simile, ma non uguale a quello di Shamoon 2.0: si tratta di StoneDrill. Quest’ultimo, oltre ai consueti moduli di wiping, attiva anche una backdoor di spionaggio che comunica i dati (prima di cancellarli) a ben 4 server remoti di command-and-control. L’aggravante di questo codice malevolo è che adotta un eccellente e furbo meccanismo di mimetizzazione e di elusione, che rende difficile individuarlo da parte dei tool di sicurezza: in sostanza, in fase di installazione, per non farsi scovare, non fa lavorare l’hard disk, ma inietta il modulo di wiping nella memoria del browser di default e, da lì, agisce. 

Attualmente, StoneDrill ha già colpito in Europa, guarda caso una società petrolifera con interessi anche in Arabia Saudita: questo ha portato gli esperti del “Centro Saudita di Sicurezza Cibernetica” a ipotizzare il coinvolgimento di hacker iraniani, posto che le due potenze locali – Arabia Saudita ed Iran, appunto – hanno interessi divergenti sia nel conflitto siriano, che in quello yemenita. 

Continua a leggere su Fidelity News