Shamoon è il nuovo virus informatico contrassegnato come W32.Disttrack o W32.EraseMBR che, se scaricato sul pc, provoca la perdita dei dati nell'hard disk e impedisce il riavvio del sistema. Diretto contro le industrie energetiche, ha colpito "almeno un'azienda" del settore: lo hanno reso noto alcune società di sicurezza informatica. Secondo quanto riporta la Bbc l'azienda colpita sarebbe l'ente petrolifero di Stato saudita, l'Aramco, che ha confermato l'attacco informatico senza fornire ulteriori dettagli se non che ha riguardato alcune workstation individuali e non l'intero sistema.
Il virus cancella i dati del pc infetto sostituendoli con delle immagini - rendendo quindi impossibile il recupero - e inviando una lista dei file originali al computer controllante: l'obbiettivo principale sembra però essere quello di rendere inutilizzabile il pc ospite piuttosto che il furto di dati. "Si tratta di un malware distruttivo che danneggia i file su un computer compromesso e sovrascrive l'MBR (Master Boot Record), nel tentativo di rendere un computer inutilizzabile", ha scritto la società di sicurezza Symantec.
L'attacco è stato progettato per penetrare in un computer attraverso Internet, prendendo di mira altre macchine sulla stessa rete non direttamente connesse a Internet. Una volta infettate, i dati delle macchine vengono cancellate. Un elenco dei file spazzati poi vengonoinviati al computer inizialmente infettato, e, a sua volta trasmessi a centro di comando e controllo dell'attaccante. Durante questo processo, l'attacco sostituisce i file eliminati con le immagini JPEG - ostacolando qualsiasi potenziale ripresa fascicolo da parte della vittima.
Seculert, una società specialista della sicurezza con base ad Israele, ha anche analizzato il codice maligno e ha concluso che ha caratteristiche inusuali rispetto ad altri recenti attacchi. "La parte interessante di questo malware è che invece di stare sotto il radar e raccogliere informazioni, il malware è stato progettato per sovrascrivere e cancellare i file", ha detto la società . "Perché qualcuno dovrebbe cancellare i file in un attacco mirato e rendere la macchina inutilizzabile?". Shamoon è l'ultimo di una serie di attacchi che hanno preso di mira le infrastrutture.
Al suo interno i ricercatori di sicurezza hanno individuato dei termini ("Wiper"), che proverebbero il collegamento tra il nuovo malware e Flame. Uno degli attacchi di più alto profilo negli ultimi tempi è stato Stuxnet, progettato per colpire infrastrutture nucleari in Iran. Altri, come Duqu, hanno cercato di infiltrarsi nelle reti, al fine di rubare i dati. La distruttività pura di Shamoon ha spinto alcuni ricercatori a liquidarla come semplice vandalismo, anche se un post sul blog di Serculist rileva che potrebbe essere una copia malriuscita di codice inizialmente presente in Flame, piuttosto che una nuova cyberarma.
Via: La Stampa
Nessun commento:
Posta un commento