Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

Wiper Press Release Finalx - Kaspersky Lab – Newsroom Europe.

Kaspersky Lab pubblica una nuova ricerca su Wiper, il potente
malware che ha colpito alcuni computer lo scorso aprile 2012
Roma, 29 agosto 2012 - Durante lo scorso aprile 2012, sono stati registrati una serie di
incidenti riconducibili ad un programma malware, nome in codice Wiper, che attaccava i
computer situati in alcuni stabilimenti petroliferi dell’Asia occidentale. Nel maggio 2012, i
ricercatori di Kaspersky Lab hanno condotto una ricerca in collaborazione con International
Telecommunication Union, per effettuare ulteriori indagini sugli incidenti e stabilire il potenziale
di pericolosità del nuovo malware.
Oggi gli esperti di Kaspersky Lab hanno pubblicato una ricerca realizzata sulla base dell’analisi
digitale delle immagini degli hard disk estratte dai computer attaccati da Wiper.
Questa ricerca fornisce un’analisi dell’efficace metodo distruttivo di Wiper, compreso il singolare
modello di cancellazione dei dati e il comportamento distruttivo. Nonostante con la ricerca di
Wiper sia stato involontariamente scoperto Flame, Wiper in sé non è mai stato scoperto durante
le ricerche e rimane non identificato. Nel frattempo, il comportamento distruttivo di Wiper può
avere incoraggiato gli altri a creare altri malware altamente nocivi quali Shamoon, rilevato nel
corso del mese di agosto 2012.
Risultati della ricerca:
•
Kaspersky Lab conferma che Wiper è stato responsabile degli attacchi lanciati contro
computer situati nell’Asia occidentale tra il 21 e il 30 aprile 2012.
•
L’analisi delle immagini degli hard disk dei computer che sono stati distrutti da Wiper hanno
rivelato una speciale modalità di cancellazione dei dati associata ad una determinata
denominazione della componenete malware, che iniziava con ~D. Questi risultati ricordano
Duqu e Stuxnet, che utilizzavano appunto nomi di file che iniziavano con ~D e che erano
entrambi stati costruiti sulla stessa piattaforma di attacco, conosciuta con il nome di Tilded.
•
Kaspersky Lab ha iniziato la ricerca di altri file che iniziavano con ~D attraverso Kaspersky
Security Network (KSN), per cercare di individuare altri file Wiper sfruttando la connessione
con la piattaforma Tilded.
•
•
Durante questo processo, Kaspersky Lab ha identificato un numero considerevole di file
nell’Asia occidentale denominati ~DEB93D.tmp. Una ulteriore analisi ha mostrato che questi
file erano parte di una diversa tipologia di malware: Flame. Questa è la modalità con cui
Kaspersky Lab ha scoperto Flame.
•
Nonostante Flame sia stato scoperto durante la ricerca di Wiper, i ricercatori di Kaspersky
Lab sono convinti che Wiper e Flame siano due programmi malware distinti e separati.
•
Nonostante Kaspersky Lab abbia analizzato le tracce dell’infezione Wiper, il malware è
ancora sconosciuto perchè non ci sono stati ulteriori incidenti che hanno seguito lo stesso
modello e quindi non c’è stata nessuna individuazione del malware da parte della protezione
proattiva di Kaspersky Lab.
•
Wiper è stato molto efficace e può avere portato alla creazione di “nuove varianti” come
Shamoon.
Analisi dei computer attaccati da Wiper
L’analisi di Kaspersky Lab delle immagini degli hard disk prese dalle macchine distrutte da
Wiper ha dimostrato che il programma nocivo cancellava gli hard disk dei computer e
distruggeva tutti i dati che potevano essere utilizzati per identificare il malware. Il file system
danneggiato da Wiper impediva il rebooting del computer e causava problemi di funzionamento.
Quindi, in ogni singola macchina analizzata, non rimaneva nulla dopo l’attivazione di Wiper e
non era quindi possibile ripristinare il sistema o recuperare i dati.
I ricercatori di Kaspersky Lab hanno comunque ottenuto alcuni dati interessanti, come la
metodologia di cancellazione utilizzata dal malware, la nomenclatura e, in alcuni casi, le chiavi
di registro che rivelavano i precedenti nomi dei file che erano stati cancellati dall’hard disk.
Queste chiavi di registro mostravano tutte un nome del file che iniziava con ~D.
Metodologia di cancellazione unica
L’analisi della metodologia di cancellazione svelava un metodo utilizzato su ogni computer
infettato da Wiper. L’algoritmo di Wiper è stato realizzato per distruggere velocemente quanti
più file possibile, fino a molti gigabytes contemporaneamente. Circa tre delle quattro macchine
hanno avuto i dati completamente cancellati. Nel corso dell’operazione veniva cancellata la
prima metà dell’hard disk e poi sistematicamente venivano cancellati i rimanenti dati che
consentivano all’hard disk di funzionare correttamente, quindi il sistema andava in crash.
Inoltre, siamo a conoscenza di attacchi Wiper che avevano come obiettivo file PNF e questo
non avrebbe senso se non fosse direttamente correlato con la rimozione di
ulteriori componenti malware. Questo è stato un risultato molto interessante, dal momento che
Duqu e Stuxnet hanno mantenuto il proprio codice principale criptato nei file PNF.
Come la ricerca di Wiper ha portato alla scoperta di Flame
I file temporanei (TMP) che iniziavano con ~D, erano utilizzati anche da Duqu che era stato
costruito sulla stessa piattaforma di attacco di Stuxnet, Tilded. Sulla base di questo indizio, il
team di ricercatori ha iniziato a cercare altri potenziali file name sconosciuti collegati a Wiper e
basati sulla piattaforma Tilded attraverso KSN, l’infrastruttura cloud utilizzata dai prodotti
Kaspersky Lab per riportare dati di telemetria e garantire protezione immediata sotto forma di
black list e regole euristiche che intercettano ogni nuova minaccia. Durante questo
procedimento, i ricercatori di Kaspersky Lab hanno individuato molti computer nell’Asia
occidentale che contenevano il file name
“~DEB93D.tmp”. Questa è la modalità con cui
Kaspersky Lab ha scoperto Flame; nonostante ciò, Wiper non è stato individuato utilizzando
questa metodologia e rimane tuttora non identificato.
Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha dichiarato: “Sulla base delle
nostre analisi sui modelli di Wiper rimasti sulle immagini degli hard disk esaminati, non c’è alcun
dubbio che il malware è esistito e che sia stato utilizzato per attaccare i computer nell’Asia
occidentale nell’aprile del 2012 e forse anche prima, nel dicembre 2011. Nonostante Flame sia
stato scoperto durante la ricerca di Wiper, siamo convinti che Wiper sia un malware diverso da
Flame. Il comportamento distruttivo di Wiper combinato con i file name che sono stati lasciati sui
sistemi attaccati da Wiper ricordano molto il programma utilizzato dalla piattaforma Tilded.
L’architettura modulare di Flame era completamente differente ed è stata realizzata per
eseguire una campagna di cyber spionaggio. Non abbiamo inoltre identificato nessun
comportamento distruttivo durante l’analisi di Flame”.
Per ulriori informazioni consultare Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza
soluzioni di sicurezza endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in
questo mercato*. Nel corso dei suoi 15 anni di storia, Kaspersky Lab è stata un pioniere nella
sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali,
Piccole e Medie Imprese e grandi aziende. Kaspersky Lab opera in 200 paesi e protegge oltre
300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
Contatto di redazione:
Noesis
KasperskyLab Italia
Angela De Tommaso, Silvia Pasero
Alessandra Venneri
[email protected];
[email protected]
[email protected]
02/8310511
06 58891031 - 3351980618
Via Savona, 19/A
Via F. Benaglia 13
Milano
Roma
* L’azienda si è posizionata al quarto posto nel Worldwide Endpoint Security Revenue by
Vendor, 2010 di IDC. La classifica è stata pubblicata nel report IDC Worldwide IT Security
Products 2011-2015 Forecast and 2010 Vendor Shares – December 2011. Il report ha
classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint nel 2010.
Documenti correlati
PROMOZIONE DI FINE ESTATE!!! CAMBIA
PROMOZIONE DI FINE ESTATE!!! CAMBIA
Lettere Storia Inglese Matematica Economia e diritto Scienze della
Lettere Storia Inglese Matematica Economia e diritto Scienze della
Kaspersky report
Kaspersky report
Drive-by download. Il web sotto assedio Lo scritto parla del
Drive-by download. Il web sotto assedio Lo scritto parla del
kaspersky endpoint security for business
kaspersky endpoint security for business
Voi pensate al business, noi pensiamo alla vostra sicurezza
Voi pensate al business, noi pensiamo alla vostra sicurezza
educazione fisica francese/spagnolo/tedesco lab
educazione fisica francese/spagnolo/tedesco lab
Kaspersky Antivirus per Mac già compatibile con MAC OS X Lion
Kaspersky Antivirus per Mac già compatibile con MAC OS X Lion
GRUPPI DI CONTINUITA` SOFTWARE ANTIVIRUS KASPERSKY
GRUPPI DI CONTINUITA` SOFTWARE ANTIVIRUS KASPERSKY
KaspersKY seCUritY FOr Mail server
KaspersKY seCUritY FOr Mail server
Consiglio della Classe: 1 A - Anno scolastico 2016/2017 1 LINGUA
Consiglio della Classe: 1 A - Anno scolastico 2016/2017 1 LINGUA
Cittadinanza digitale
Cittadinanza digitale
Scarica