Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Shamoon, il malware distruttivo che cancella il disco rigido

Redazione RHC : 25 Maggio 2023 07:16

Malware e virus presentano alcuni dei problemi più difficili che gli esperti di sicurezza informatica devono affrontare costantemente. Poiché sempre più applicazioni di commercio e controllo industriale nel mondo vengono eseguite utilizzando i computer, la minaccia di infezione dei sistemi e le ripercussioni sono cresciute in modo esponenziale. 

L’emergere del ransomware inoltre, che minaccia di eliminare i dati in un computer se le richieste degli aggressori non vengono soddisfatte, è una variante che può portare a gravi perdite finanziarie che incidono sugli utenti interessati.

Alcuni malware invece, sono progettati semplicemente per eseguire compiti distruttivi sulle macchine che infettano. Non è richiesto un riscatto che potrebbe salvare i dati sulla macchina infetta. L’obiettivo di questo tipo di attacco è solo distruggere la funzionalità delle macchine prese di mira.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Uno dei malware più perniciosi che hanno causato caos e distruzione è Shamoon. Ha attaccato i computer che eseguivano il sistema operativo Microsoft Windows. Scopriamo questo malware associato e sviluppato dagli hacker Iraniani.

    Che cos’è Shamoon e come funziona?

    Shamoon, noto anche come W32.Distrack, è un programma malware aggressivo che ha lo scopo di cancellare un disco ed è stato visto per la prima volta negli attacchi al settore energetico saudita nel 2012. La scoperta del malware è stata annunciata da Symantec, Seculert e Kaspersky Labs nell’agosto del 2012.

    Negli attacchi del 2012, Shamoon cancellava il Master Boot Record del computer infettato e lo sostituiva installando un programma che visualizzava una immagine di una bandiera statunitense in fiamme. Le varianti di Shamoon utilizzano altre immagini, ma generalmente era un “troll” molto simile.

    Nonera richiesto un riscatto da Shamoon ed è un esempio di malware progettato per essere utilizzato nella guerra informatica

    Utilizza una combinazione di numerosi componenti per infettare i computer che possiamo suddividere in:

    • Il Dropper : Questo è il primo componente e viene utilizzato per creare un servizio persistente sul computer infetto denominato NtsSrv. È disponibile nelle versioni a 32 e 64 bit e rilascia il suo carico utile in base all’architettura rilevata. Si copia su altri computer collegati alla rete per diffondere il proprio codice dannoso;
    • Il Wiper : il prossimo componente di Shamoon è il wiper, che viene utilizzato per caricare un terzo componente. Questo è il driver Eldos e viene utilizzato per sovrascrivere il master boot record (MBR) del disco rigido con l’immagine corrente incorporata nel malware. Il driver consente l’accesso in modalità utente al disco rigido senza utilizzare le API di Windows. Dopo che l’MBR è stato sovrascritto, il sistema diventa inutilizzabile;
    • Il Reporter : questo componente finale stabilisce la comunicazione con un server di comando e controllo. Gli aggressori gestiscono questo server e possono usarlo per scaricare codice aggiuntivo, modificare il tempo preconfigurato di pulizia del disco e inviare rapporti per verificare che un determinato disco sia stato distrutto.

    Chi c’è dietro Shamoon?

    La natura distruttiva e gli obiettivi scelti con precisione delle attuali infestazioni di Shamoon indicano che si tratta del lavoro di un team coordinato di hackerSecondo infoworld.com, gli esperti di sicurezza di McAfee ritengono che il gruppo sia alle strette direttive di uno stato-nazione canaglia. 

    Sebbene la società non indichi esplicitamente lo stato colpevole, in quanto il problema dell’attribuzione nel mondo della cybersecurity associata ai malware è sempre una materia complessa, le prove indicano una interconnessione con gli hacker iraniani che potrebbero essere associati al suo governo.

    La prima ondata di attacchi Shamoon

    Quando è stato scoperto Shamoon, stava infettando i computer della compagnia petrolifera saudita Saudi Aramco. Secondo cnet.com, più di 30.000 workstation dell’azienda sono state colpite dal malware. Un gruppo che si fa chiamare the Cutting Sword ha rivendicato l’attacco.

    La loro giustificazione per prendere di mira la compagnia energetica era lo stretto rapporto che ha con il governo saudita. La motivazione dell’attacco era la punizione per presunti crimini che i sauditi avevano perpetrato nei paesi vicini della regione come Siria e Libano. Il sospetto è caduto sul governo iraniano come rappresaglia per l’impegno di Saudi Aramco di produrre più petrolio per mantenere le forniture durante un embargo tra Stati Uniti e Unione Europea contro l’Iran.

    Questo attacco è considerato il primo nel quale venne utilizzato Shamoon. Le precedenti iniziative di hacktivismo venivano generalmente eseguite tramite attacchi DDoS (Distributed Denial of Service). Sebbene non sia stato possibile dimostrare alcun collegamento, giorni dopo l’attacco di Shamoon, dettagli sensibili tra cui le password dell’amministratore delegato di Saudi Aramco sono state pubblicate su Pastebin. 

    Questa potrebbe essere collegato al fatto che Shamoon abbia copiato dettagli importanti dei server prima di procedere con la cancellazione del disco.

    Eventi recenti che coinvolgono Shamoon

    Shamoon è riemerso nel 2016 in una nuova versione incentrata anche sugli obiettivi sauditi per poi scomparire fine 2016, per poi riemergere alla fine del 2018. Sembra che il codice venga riutilizzato periodicamente dopo aver subito modifiche che lo rendono ancora più distruttivo

    Secondo symantec.com, l’ultima incarnazione di questo malware presenta un nuovo wiper che elimina i file dai computer infetti prima di cancellare il Master boot record.

    Il nuovo wiper rende impossibile il recupero dei dati residenti sulle macchine infette. Nella sua forma precedente, Shamoon rendeva le macchine inutilizzabili, ma esisteva la possibilità per recuperare i dati dalle macchine danneggiate. 

    Inoltre nelle ultime versioni è presente un nuovo componente chiamato Spreader che consulta l’elenco dei computer e copia lo strumento di cancellazione su tutti i dispositivi nell’elenco.

    Questi nuovi attacchi si sono concentrati anche sulle società coinvolte nell’industria del gas e del petrolio. La Saipem, azienda italiana di servizi petroliferi, ha attaccato centinaia di server in Medio Oriente. Nella stessa settimana sono state colpite anche altre organizzazioni negli Emirati Arabi Uniti e in Arabia Saudita.

    Ricerca sulla protezione contro il virus Shamoon

    Le nuove varianti di Shamoon vengono camuffate da pacchetti software legittimi, secondo bleepingcomputer.com. Le varianti recenti contengono certificati digitali scaduti della società tecnologica cinese Baidu. 

    I nomi dei file interni indicavano che i file erano associati alla configurazione di un hotspot Baidu. Sembra che i gruppi dietro il malware stiano affinando i loro metodi di consegna nella speranza di evitare il rilevamento.

    Gli esperti di recupero dei dati sono ovviamente interessati alla loro capacità di assistere i clienti dopo che si sono verificati eventi di perdita di dati. La distruzione di Shamoon originale era confinata al MBR della macchina interessata ma le nuove varianti vanno più a fondo e in molti casi risulta difficile il recupero.

    Sfortunatamente, è probabile che la presenza di malware distruttivo aumenti solo con il passare del tempo. La protezione da questi attacchi devastanti deve includere il rilevamento per scongiurare l’intrusione del malware, nonché strumenti per aiutare con il ripristino dei computer danneggiati. Lavorare in tandem, software antivirus e di recupero dati può aiutare i nostri sistemi digitali critici a rimanere al sicuro.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006