Via Gatti 3/28 -41043 Formigine (MO)
059 5961136

Shamoon, il virus che distrugge il MBR

Cos’è un master boot record?

Il master boot record (MBR), in informatica ed elettronica, nell’ambito dell’architettura dei PC, è quel settore dell’hard disk di un computer, noto anche come settore di avvio principale, composto dai primi 512 byte, che contiene la sequenza di comandi/istruzioni necessarie all’avvio (boot) del sistema operativo, tipicamente il boot manager/boot leader del sistema.

Chi è Shamoon?

Shamoon, noto anche come Disttrack, è un virus informatico modulare scoperto da Seculert nel 2012, che mira recenti versioni basate su kernel NT di Microsoft Windows. Il virus è stato utilizzato per lo spionaggio informatico nel settore energetico. La sua scoperta è stata annunciata il 16 agosto 2012 da Symantec, Kaspersky Lab, e Seculert. E’ stato associato al famoso Flame, quel “bel” malware che corrode piccole porzioni di database lasciando l’attacco finale dopo mesi e rendendo così inutile il backup.

Nello specifico Shamoon distrugge e sovrascrive i boot record rendendoli così incapace di avviarsi. Nel 2012 ha danneggiato oltre 30.000 sistemi.

Nei giorni scorsi, l’Arabia Saudita ha messo in guardia le organizzazioni del proprio regno di rimanere in allerta per il virus informatico Shamoon, il quale è apparso nuovamente e si è reso più attivo colpendo le organizzazioni del Medio Oriente. Diverse aziende chimiche sono state attaccate. Se molti credono che questo sia solo l’inizio di una rinnovata campagna di attacchi informatici, in tanti si chiedono cosa si può fare per prevenire questa nuova minaccia.

Come funziona?

Come la maggior parte delle minacce avanzate, Shamoon è modulare ee è composto da tre componenti principali.

Shamoon Dropper – Questo è il punto iniziale di infezione ed è utilizzato dagli aggressori per stabilire un punto d’appoggio.

Shamoon Wiper – Questo infligge il danno con l’installazione di un driver malintenzionato a sovrascrivere i dati.

Shamoon Reporter  – Questo riporta indietro all’attaccante il dominio della propria macchina e il numero di file che sono stati sovrascritti.

 

Questo approccio modulare permette all’attaccante di ridurre il rischio di essere scoperto, dato che non tutto il codice dannoso viene consegnato in una sola volta ma a contagocce, un tipico attacco per eludere gli Antivirus o altre tecnologie di rilevamento.

Anche se ci sono pochi dettagli disponibili riguardo l’esatta consegna dell’attacco, le e-mail di phishing o credenziali rubate sono sicuramente la fonte più probabile.

Una volta che l’attacco ha inizio, il malware incorpora rapidamente se stesso nel sistema di destinazione e utilizza alcuni trucchi per apparire in modo legittimo e mantenere la persistenza. Negli attacchi osservati, vediamo lo sfruttamento degli admin rights e non sono comunemente rilevati dalle soluzioni AntiVirus poiché utilizzano i nomi di file che sembrano legittimi per non destare sospetti.

Guardando oltre Shamoon

Molte organizzazioni sono preoccupate non solo per il ritorno di Shamoon, ma per quale sarà il prossimo attacco. Con un numero sempre più crescente di attacchi in continua evoluzione, gli approcci tradizionali delle tecnologie di rilevazione non possono stare al passo con le minacce. I comuni Antivirus, basandosi solo sulle impronte virali, oltre ad appesantire e quindi diminuire le prestazioni di una macchina, si concentrano solo sul conosciuto (il problema dello Zeroday è sempre più alto) e tantomeno non sono in grado di bloccare programmi che partono in maniera automatica sfruttando gli admin right.

In commercio esistono varie soluzioni di prevenzione, dal riconoscimento di un file che viene cryptato, alle “false” promosse di riconoscere un mail potenzialmente pericolosa.

 

” Il tecnico del blue Screen non è il vostro consulente Cyber “

In tutto queste mare di prodotti/soluzioni, la carta vincente come dico sempre non è quella di saper scegliere il prodotto, ma di affidarsi a personale qualificato e non il classico “tecnico del blue screen” ; l’esperto deve sapere consigliare, scegliere e configurare la giusta soluzione.

E’ obbligo del CEO far sedere al proprio fianco il suo IT Manager nella organizzazione dell’azienda, ed è obbligo per lo stesso IT Manager capire se le proprie skill sono pronte ad affrontare un futuro sempre più pieno di attacchi. In mancanza di quest’ultimo è compito del AD di ogni azienda capire che oggi è importante investire in security tanto quanto pagare la bolletta della luce, per non cadere nella rete del ragno, in questo caso di Shamoon.

Se vuoi sapere quali sono le soluzioni per bloccare Shamoon e similari, contattami!

Leave a comment