venerdì 15 settembre 2017

Cosa Sono I Malware Wiper e Loro Varianti

I Wiper (dall’inglese to wipe, "cancellare". Un'altra traduzione è "tergicristallo" ) sono particolari tipi di Malware pericolosissimi.
Negli ultimi anni, questo tipo di Virus si sono diffusi moltissimo.
Il nome deriva dal Malware Wiper appunto che era così efficace al punto di cancellare se stesso dai migliaia di computer iraniani che si supponeva avesse infettato.
“Si supponeva” perché, in realtà, nessuno è stato in grado di esaminare i campioni malware di Wiper. A differenza di altri malware distruttivi, questa minaccia era relativamente nuova e sembrava colpisse computer in una forma casuale.
Nel 2017, principalmente in Ucraina, molti computer sono stati infettati da una variante del Ransomware Petya (chiamato ExPetrNotPetya perchè non si tratta di un Ransomware nel vero senso della parola), modificata per agire efficacemente come un Wiper.
Il malware infetta il record di avvio principale con un payload che cifra la tabella di file del file system NTFS.
Sebbene il nuovo Petya richiedesse ancora un riscatto, in seguito si scoprì che il codice era stato modificato in modo che comunque non si potesse effettivamente ritornare indietro (alla situazione iniziale) anche pagando il riscatto.
Si crede che Shamoon sia stato il discendente diretto del misterioso Malware Wiper.
Questo virus si è fatto strada nelle reti di quella che si può considerare la più importante azienda petrolifera del mondo, Saudi Aramco.
Nell’agosto del 2013, Shamoon colpì l'azienda petrolifera saudita distruggendo più di 30.000 workstation aziendali.
Il malware, nato forse in Iran dove un gruppo Hacker pare aver rivendicato la potestà dell’attacco, non è riuscito a cancellare se stesso come aveva fatto il suo predecessore.
I ricercatori hanno rintracciato Shamoon e sono potuti risalire ai suoi metodi di attacco, brutali ma efficaci.
Poi è stata la volta di Narilam, un malware ingegnoso che sembra aver attaccato i database di molte applicazioni bancarie usate quasi esclusivamente in Iran.
Questo Wiper agisce lentamente ed è disegnato per sabotaggi che danno i suoi frutti nel lungo termine.
Kaspersky Lab ha identificato diverse versioni di Narilam, alcune delle quali risalgono al 2008 (anche se la diffusione a larga scala avvenne diversi anni dopo).
Nonostante Narilam e altri programmi di questo tipo agiscano lentamente, possono essere abbastanza distruttivi nel lungo termine.
Un altro malware della famiglia wiper si camuffa sotto il nome di Groovemonitor che risale al 2012. Si tratta di un codice dannoso semplice nel design, ma molto efficace nel distruggere intere partizioni e dischi fissi basati su OS Windows.
Il malware è programmato per cancellare tutti i dati presenti sulle partizioni non di sistema (da D: a I:).
Più recente è l’operazione Dark Seoul, un attacco complesso che ha preso di mira allo stesso tempo diverse banche e broadcaster televisivi con sede a Seul, in Corea del Sud.

Raiu di Securelist: "La capacità di poter cancellare decine di migliaia di dati da migliaia di computer con un solo click è una delle abilità più potenti di ogni arma cibernetica. Questo può avere un effetto ancora più devastante se associato a un attacco cinetico mondiale e reale, in grado di paralizzare l’infrastruttura di un paese"

Rimangono sostanzialmente minacce minori però perchè le probabilità per un utente privato di cadere vittima di Malware in grado di cancellare le informazioni alla base dei sistemi di controllo industriali (quali hardware e software che controllano la rete elettrica o i processi di fabbricazione) sono molto basse.
Ciononostante, si tratta di minacce da non sottovalutare, che aziende di sicurezza specializzate, detentori di infrastrutture critiche e governi non dovrebbero mai sottovalutare.

Nessun commento:

Posta un commento