{"id":9897,"date":"2017-03-06T12:42:57","date_gmt":"2017-03-06T12:42:57","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=9897"},"modified":"2017-11-13T17:43:39","modified_gmt":"2017-11-13T15:43:39","slug":"stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9897\/","title":{"rendered":"StoneDrill: abbiamo trovato un nuovo e potente malware wiper simile a Shamoon (ed \u00e8 una cosa seria)"},"content":{"rendered":"

Se siete lettori abituali di questo blog, conoscerete il nostro team GReAt (Global Research and Analysis Team)<\/a>. Si tratta di oltre 40 esperti di cybersicurezza sparsi per il mondo, specializzati nel proteggere i nostri clienti dalle cyberminacce pi\u00f9 sofisticate che si trovano l\u00e0 fuori. Gli esperti del team GReAT amano paragonare il loro lavoro alla paleontologia<\/a>: esplorano il deep web<\/em> alla ricerca delle \u201cossa\u201d dei \u201ccyber mostri\u201d. Alcuni potrebbero considerarlo un metodo antico: cosa c\u2019\u00e8 di tanto speciale nell\u2019analizzare le \u201cossa\u201d delle \u201ccreature\u201d del lontano passato quando la chiave di tutto \u00e8 proteggere le vostre reti dai mostri del presente? Beh, ecco una storia che vi dimostra che \u00e8 impossibile scovare i mostri di oggi senza dare un\u2019occhiata al passato\u2026<\/p>\n

Alcuni di voi conosceranno i wiper<\/a> (un tipo di malware che, dopo essere stato installato su un PC infetto, cancella completamente tutti i dati, lasciando il proprietario del computer con un hardware assolutamente vuoto e a malapena funzionante). Il wiper pi\u00f9 famoso (e famigerato) \u00e8 Shamoon<\/a>, un malware che nel 2012 ha fatto tanto scalpore nel Medio Oriente, eliminando i dati di oltre 30.000 endpoint<\/a> della compagnia petrolifera pi\u00f9 grande al mondo (la Saudi Aramco) e colpendo anche un altro colosso energetico (Rasgas<\/a>). Pensateci: oltre 30.000 hardware inutilizzabili nella compagnia petrolifera pi\u00f9 grande al mondo\u2026<\/p>\n

Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. I wiper si stanno diffondendo nel mondo<\/div>\n

Stranamente, dalla sua lotta devastante contro l\u2019azienda saudita nel 2012, si \u00e8 sentito poco parlare di Shamoon, fino a quando nel 2016 \u00e8 ritornato sulle scene Shamoon 2.0<\/a>, con nuove ondate d\u2019attacco (sempre nel Medio Oriente).<\/p>\n

Dall\u2019inizio delle nuove ondate d\u2019attacco di Shamoon, abbiamo sintonizzato i nostri sensori alla ricerca di quante pi\u00f9 versioni possibili di questo malware (perch\u00e9, diciamolo, non vogliamo che i nostri clienti siano attaccati da Shamoon). E siamo riusciti a trovarne diverse versioni (evviva)! Ma insieme al nostro bottino di versioni di Shamoon, le nostre reti hanno inaspettatamente scovato un nuovo tipo di malware wiper che abbiamo chiamato StoneDrill<\/em>.<\/p>\n

\"\"<\/a><\/p>\n

La base del codice di StoneDrill \u00e8 diversa da quella di Shamoon, ecco perch\u00e9 pensiamo si tratti di una nuova famiglia di malware; utilizza anche alcune tecniche per evitare il rilevamento che Shamoon non usa. Si tratta, quindi, di un nuovo protagonista. E una delle cose pi\u00f9 strane (e preoccupanti) che ho imparato su questo malware \u00e8 che, a differenza di Shamoon, StoneDrill non si limita a colpire solo l\u2019Arabia Saudita o i paesi vicini. Finora, abbiamo trovato solo due attacchi di questo malware e uno di loro si \u00e8 verificato in Europa.<\/p>\n

Perch\u00e9 \u00e8 preoccupante? Perch\u00e9 questa scoperta indica che alcuni criminali pericolosi armati di cyber strumenti devastanti stanno tastando il terreno nelle regioni in cui altre persone di questo genere non erano precedentemente interessate.<\/p>\n

Cercavamo Shamoon e abbiamo trovato StoneDrill. Cercavamo StoneDrill e abbiamo trovato un\u2019operazione di guerra cibernetica<\/div>\n

Il mio consiglio alle aziende in Europa che potrebbero interessare a chi si cela dietro StoneDrill o forse anche dietro Shamoon: difendetevi da questo tipo di minacce alla vostra rete. Non sono solo le compagnie petrolifere e del gas del Medio Oriente a rischiare di essere attaccate. Sembra infatti che la minaccia stia diventando mondiale.<\/p>\n

Tornando alla cyber paleontologia\u2026<\/p>\n

Prima ho parlato del fatto che abbiamo scoperto StoneDrill mentre cercavamo esemplari di Shamoon. S\u00ec, \u00e8 stata una scoperta inaspettata (ma non \u00e8 avvenuta per errore) \u2026<\/p>\n

Per trovare nuove o simili varianti di un malware noto, i nostri ricercatori utilizzano le regole YARA<\/a> (oltre ad utilizzare anche altri strumenti). Queste regole rappresentano uno strumento specifico che permette di stabilire una serie di diversi parametri di ricerca e filtrano i nostri database dei malware.<\/p>\n

Tradurre in linguaggio umano il processo di ricerca di un malware con le regole YARA \u00e8 come cercare un viso particolare in una folla senza sapere come sia. Immaginatevi di avere un amico di penna. Dopo anni di mail, decidete di incontrarvi (in un\u2019affollata stazione ferroviaria). Ma dal momento che avete deciso di non inviarvi mai una foto (\u201cnon mandiamoci nostre foto per divertirci\/mantenere il mistero!\u201d), non sapete che faccia abbia il vostro amico; l\u2019unica cosa che sapete sono un paio di dettagli come l\u2019et\u00e0, l\u2019altezza, la struttura corporea, il colore dei capelli e degli occhi e forse il tipo di vestiti che indossa normalmente. Quindi, in questa stazione affollata, potreste incontrare qualcuno con le stesse caratteristiche del vostro amico, ma non potrete sapere se \u00e8 davvero lui fino a quando non iniziate a parlarci.<\/p>\n

Beh, \u00e8 successa pi\u00f9 o meno la stessa cosa con StoneDrill.<\/p>\n

I nostri ricercatori hanno rilevato alcuni parametri unici delle ultime versioni di Shamoon. Basandosi su questi parametri, i nostri esperti hanno creato alcune regole YARA, hanno premuto il pulsante di ricerca e hanno iniziato ad analizzare il loro bottino. Successivamente, hanno trovato un modello che coincideva con i parametri di Shamoon; ad ogni modo, dopo un\u2019occhiata pi\u00f9 dettagliata ci si \u00e8 resi conto del fatto che il malware appena trovato non era affatto Shamoon, ma faceva parte di una nuova famiglia di malware wiper.<\/p>\n

Tornando al nostro esempio dell\u2019amico di penna, questo significa che identifichereste qualcun altro con le stesse caratteristiche del vostro amico ma che non \u00e8 lui. Magari \u00e8 un suo parente, chi lo sa?<\/p>\n

Perch\u00e9 vi sto spiegando tutto questo?<\/p>\n

Vi ricordate della metafora della paleontologia all\u2019inizio di questo post? Era questo quello che intendevo quando ho scritto che a volte \u00e8 impossibile scovare nuovi mostri senza conoscere quelli del passato. Ne vale davvero<\/em> la pena. \ud83d\ude09<\/p>\n

Ma c\u2019\u00e8 un altro motivo per cui voglio parlare di come abbiamo trovato StoneDrill.<\/p>\n

Il fatto che abbiamo rilevato StoneDrill mentre cercavamo Shamoon vuol dire che entrambi sono costruiti e operano quasi nello stesso modo, anche se il loro codice \u00e8 completamente diverso. Quando parlo di \u201cmodo\u201d mi riferisco a determinati metodi con cui opererebbe il malware, nascondendosi sia dai software di sicurezza che dagli operatori, e cos\u00ec via. Non \u00e8 il tipo di somiglianza che trovereste tra due fratelli, ma quella che trovereste tra due studenti dello stesso insegnante. O se preferite, tra due membri dello stesso gruppo di amici di penna.<\/p>\n

In altre parole, le somiglianza tra Shamoon e StoneDrill non<\/strong> sono probabilmente una coincidenza. Shamoon e StoneDrill sono stati scritti dagli stessi autori? StoneDrill \u00e8 uno strumento specifico degli operatori di Shamoon? O sono entrambi due creature di due diverse persone che hanno frequentato la stessa scuola di scrittura di malware. Non lo sappiamo. Tutto \u00e8 possibile: nel frattempo stiamo ancora analizzando il caso e presenteremo le nostre scoperte alla prossima conferenza SAS<\/a>.<\/p>\n

Ma aspettate! Non \u00e8 tutto!<\/p>\n

Quando il nostro team GReAT stava cercando il codice di StoneDrill, tutti i nostri ricercatori di sicurezza hanno avuto un d\u00e9ja vu: avevano gi\u00e0 visto alcune di quelle linee di codici! Dove? In un\u2019altra operazione di cyber spionaggio chiamata Newsbeef (lo scorso anno abbiamo pubblicato un post sul blog<\/a> al riguardo). Quindi, ecco qui un\u2019altra variabile di questa equazione: Newsbeef. StoneDrill \u00e8 uno strumento utilizzato dagli operatori di Newsbeef per cancellare i dati? Si tratta ancora una volta di una domanda a cui non si pu\u00f2 rispondere.<\/p>\n

\"\"<\/a><\/p>\n

Se fossimo esperti di geopolitica o filosofi faremmo ipotesi su queste connessioni. Come ha detto una volta Winnie the Pooh: \u201cQuel ronzio significa qualcosa\u201d.<\/p>\n

Ma (fortunatamente!) non siamo esperti di geopolitica o filosofi. Abbiamo il difficile compito di salvare il mondo dalle cyberminacce a prescindere dalle loro origini o dal loro scopo. L\u2019unico motivo per cui ho menzionato le connessioni tra Shamoon, StoneDrill e Newsbeef \u00e8 perch\u00e9 li abbiamo trovati. E dal mio punto di vista si tratta di un ottimo esempio dell\u2019utilit\u00e0 della threat intelligence<\/em> per la vostra azienda o organizzazione governativa che cerca di comprendere cosa stia succedendo. \u00a0Aiuta a comprendere le cose. E quando capite le cose, potete prepararvi meglio ad affrontare i rischi che queste potrebbero comportare.<\/p>\n

Per questo motivo, rimanete connessi, leggete i dettagli delle scoperte dei nostri ricercatori su Securelist e se volete ottenere una maggiore threat intelligence<\/em>, non esitate a iscrivervi al nostro servizio di APT Intelligence Reporting<\/a>.<\/p>\n

Cedo adesso la parola ai responsabili della scoperta di StoneDrill: in questo link<\/a> potrete trovare i dettagli dell\u2019analisi tecnica.<\/p>\n

PS:<\/p>\n

Se volete che il vostro team di sicurezza sia in grado di analizzare i malware in maniera dettagliata e professionale, proprio come fa il team di GReAT, fatelo partecipare alle nostre sessioni di formazione. La prossima sessione si terr\u00e0 alla conferenza SAS 2017<\/a> all\u2019inizio di aprile; quest\u2019anno si terr\u00e0 a Sint-Marteen, perch\u00e9 tempo fa abbiamo appurato<\/a> che i Caraibi sono il posto perfetto per parlare di cybersicurezza e per svolgere sessioni di formazione. Prenotate tutto su questo link<\/a> e fate le valigie (portandovi un costume da bagno)!<\/p>\n

.@KASPERSKY SCOPRE UN\u2019OPERAZIONE DI GUERRA CIBERNETICA CHE RIGUARDA ALMENO TRE MALWARE WIPER<\/strong><\/p>\n

TWEET<\/a><\/p><\/blockquote>\n

<\/div>\n","protected":false},"excerpt":{"rendered":"

Il team GReAT scopre il nuovo malware wiper StoneDrill.<\/p>\n","protected":false},"author":13,"featured_media":9912,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[974,22],"class_list":{"0":"post-9897","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-guerra-cibernetica","9":"tag-malware-2"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9897\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/8981\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/10177\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9873\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/14828\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/guerra-cibernetica\/","name":"guerra cibernetica"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=9897"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9897\/revisions"}],"predecessor-version":[{"id":10533,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9897\/revisions\/10533"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/9912"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=9897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=9897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=9897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}