Wiper: ci sono malware che vogliono solo distruggere il mondo

Parafrasando Costin Raiu, direttore del dipartimento di ricerca di Kaspersky Lab, la grande maggioranza dei file dannosi appartengono alla categoria crimeware, programmi per computer il cui obiettivo è trarre profitto dal furto di credenziali, dati e risorse o ottenere direttamente denaro. La seconda categoria di software è disegnata esclusivamente per lo spionaggio informatico; questi programmi vengono utilizzati da una grande varietà di “attori” esperti in attacchi avanzati.

malware wiper

Parafrasando Costin Raiu, direttore del dipartimento di ricerca di Kaspersky Lab, la grande maggioranza dei file dannosi appartengono alla categoria crimeware, programmi nocivi usati dai criminali per trarre profitto dal furto di credenziali, dati e risorse o ottenere direttamente denaro. La seconda categoria di software è disegnata esclusivamente per lo spionaggio informatico; questi programmi vengono utilizzati da una grande varietà di “attori” esperti in attacchi avanzati, e coinvolgono anche rappresentanti dello stato, delle aziende o altri personaggi “con le tasche molto profonde”. Infine, c’è una terza categoria, molto più piccola ma pericolosissima: i malware wiper (dall’inglese to wipe, cancellare).

A quanto pare, i primi malware non erano tutti “distruttivi” per natura. Nella seconda metà degli anni novanta, Internet non era il grande spazio di immagazzinamento di dati sensibili che è oggi, e la criminalità non aveva ancora scoperto il grande valore economico che si nascondeva dietro a quello che era, al tempo, un’informazione di facile accesso. Tuttavia, come avviene oggi con i ransomware moderni, i primi hacker disegnavano malware in grado di crittografare gli hard disk, corrompere i dati o infettare i computer. C’era un aspetto quasi giocoso e malizioso in questi primi Trojan e nel modo in cui venivano utilizzati. Probabilmente, i soldi non erano un incentivo significativo per i primi autori di malware.

Tuttavia, dopo questa fase, i malware con alto potere distruttivo come i wiper non sono scomparsi; si sono piuttosto riaffermarti in una veste nuova: nell’attuale e torbida era degli attacchi “nazione vs nazione” o “nazione vs azienda”, questi programmi dannosi hanno assunto nuovi scopi.

Negli ultimi 3 anni, i nostri amici di Securelist hanno esaminato 5 tipologie separate di attacchi “in stile wiper”.

Il primo, semplicemente chiamato Wiper, era così efficace che era persino in grado di cancellare se stesso dai migliaia di computer iraniani che si supponeva avesse infettato. “Si supponeva” perché, in realtà, nessuno è stato in grado di esaminare i campioni malware di Wiper. A differenza di altri malware distruttivi, questa minaccia era relativamente nuova e sembrava colpisse computer in una forma casuale. Wiper, comunque, è un malware abbastanza importante (indipendentemente da chi lo abbia disegnato e per quale scopo sia stato creato) e può aver ispirato il seguente tipo di malware.

Si crede che Shamoon sia discendente diretto del misterioso malware Wiper. Questo virus si è fatto strada nelle reti di quella che si può considerare la più importante azienda petrolifera del mondo, Saudi Aramco. Nell’agosto del 2013, Shamoon ha colpito la nota azienda petrolifera saudita distruggendo più di 30.000 workstation aziendali. Il malware, nato forse in Iran dove un gruppo hacker pare aver rivendicato la potestà dell’attacco, non è riuscito a cancellare se stesso come aveva fatto il suo predecessore. I ricercatori hanno rintracciato Shamoon e sono potuti risalire ai suoi metodi di attacco, crudi ma efficaci.

Fortunatamente, i programmi di tipo wiper rimangono una minaccia minore, qualcosa di cui né io né voi dovremmo preoccuparci.

Poi è stata la volta di Narilam, un malware ingegnoso che sembra aver attaccato i database di molte applicazioni bancarie usate quasi esclusivamente in Iran. Rispetto agli altri malware wiper, Narilam si comporta in modo diverso; agisce lentamente ed è disegnato per sabotaggi che danno i suoi frutti nel lungo termine. Kaspersky Lab ha identificato diverse versioni di Narilam, alcune delle quali risalgono al 2008. Nonostante Narilam e altri programmi di questo tipo agiscano lentamente, possono essere abbastanza distruttivi nel lungo termine.

Un altro malware della famiglia wiper si camuffa sotto il nome di Groovemonitor. La notizia di questo virus ci arriva dal Computer Emergency Response Team (CERT) iraniano e risale al 2012. Si tratta di un codice dannoso semplice nel design, ma molto efficace nel radere al suolo intere partizioni e dischi fissi basati su OS Windows. Il malware è programmato per cancellare tutti i dati presenti sulle partizioni non di sistema (da D: a I:).

Più recente è l’operazione Dark Seoul, un attacco complesso che ha preso di mira allo stesso tempo diverse banche e broadcaster televisivi con sede a Seul, in Corea del Sud. Questo attacco è diverso dai precedenti sia perché non ha coinvolto gli stati del golfo (Iran e Arabia Saudita), sia perché ha fatto parlare di sé.

“La capacità di poter cancellare decine di migliaia di dati da migliaia di computer con un solo click è una delle abilità più potenti di ogni arma cibernetica” scrive Raiu in un report di Securelist. “Questo può avere un effetto ancora più devastante se associato a un attacco cinetico mondiale e reale, in grado di paralizzare l’infrastruttura di un paese”.

Fortunatamente, i programmi di tipo wiper rimangono una minaccia minore, qualcosa di cui né io né voi dovremmo preoccuparci. Dopotutto, sono poche le probabilità per un utente privato di cadere vittima di malware in grado di cancellare le informazioni alla base dei sistemi di controllo industriali (quali hardware e software che controllano la rete elettrica o i processi di fabbricazione). Ciononostante, si tratta di minacce da non sottovalutare, che aziende di sicurezza specializzate, detentori di infrastrutture critiche e – soprattutto – governi nazionali dovrebbero monitorare e controllare.

 

Consigli