C’è una coppia di nuovi malware che, da qualche tempo, sta dando del filo da torcere agli internauti: si chiamano Shamoon 2.0 e StoneDrill e hanno la caratteristica di aggredire gli hard disk, con il rischio concreto di una perdita completa dei dati del computer. Entrambi i malware sono stati recentemente segnalati dalla security house Kaspersky.
Ma di cosa si tratta esattamente?
Cominciamo da Shamoon.
Shamoon 2.0 rappresenta niente più che l’evoluzione di un virus che già aveva fatto la sua comparsa nei computer di mezzo mondo qualche anno fa, nell’estate del 2012. Tale era la sua devastante potenza da colpire in modo preciso e severo persino le piattaforme di calcolo di Saudi Aramco, superpotenza petroliera che rischiò, all’epoca, di vedere compromesso il 10% dell’approvvigionamento di petrolio a livello globale.
Shamoon, al tempo nella sua versione 1.0, fece una vera e propria “toccata e fuga” e scomparve nel nulla, ma non prima di aver devastato 35mila workstation, sovrascrivendone il master boot record e sostanzialmente rendendole inservibili. Normale, dunque, che nella versione 2.0 faccia ancora tanta paura.
Si teme infatti che Shamoon stia tornando alla carica implementato ed evoluto, con un modus operandi soltanto parzialmente prevedibile grazie a diverse migliorie. Di cosa stiamo parlando nello specifico? Oltre al modulo ransomware, il malware è caratterizzato da un wiping automatizzato: in pratica la cancellazione radicale e completa degli hard disk avviene in modo del tutto automatico dopo un periodo di latenza nella macchina. Questa precisa peculiarità rende l’attacco virtualmente impossibile da bloccare.
Passiamo ora a StoneDrill che, una volta installato in 32-bit, rende vulnerabili le configurazioni a 64-bit dei computer e dunque aperte agli hacker. Questi ultimi chiederanno una bella somma di denaro per restituire i dati di cui sono illegittimamente entrati in possesso. Pare che finora i computer hackerati siano stati oltre 35mila.
StoneDrill è, in pratica, un ransomware che oltre ai consueti moduli di wiping, attiva anche una vera e propria backdoor di spionaggio grazie al quale i dati del computer colpito vengono comunicati a ben quattro server remoti di comando e controllo. Successivamente, le informazioni vengono cancellate e il proprietario dei dati si ritrova con un pugno di mosche, costretto a pagare per riavere il maltolto.
Ciò che rende StoneDrill particolarmente pericoloso è la sua capacità di mimetizzazione nella macchina colpita e l’abilità nell’eludere qualunque identificazione, anche da parte dei tool di sicurezza più blasonati. Una volta infettato il computer attraverso l’iniezione del modulo di wiping del browser di default, è nella perfetta posizione di agire liberamente.