Alla scoperta dei Wiper: la minaccia silenziosa che distrugge i dati senza pietà

Redazione RHC : 7 Marzo 2023 07:26

I malware di tipo wiper (in italiano “eliminatore” o “cancellatore”) sono un tipo di software malevolo progettato per distruggere o “cancellare” dati e file presenti sui sistemi informatici che infetta. A differenza di altri tipi di malware come i virus o i trojan, i wiper non cercano di infettare il maggior numero di computer possibile o di rubare dati sensibili, ma hanno come obiettivo principale: la distruzione dei dati.

I wiper possono agire in diversi modi: ad esempio, possono sovrascrivere i dati presenti sui dischi rigidi o sui dispositivi di archiviazione, impedendo l’accesso ai file originali; possono eliminare i file di sistema o le parti critiche del sistema operativo, rendendo il sistema inutilizzabile; possono cancellare completamente i dati presenti sul disco rigido, lasciando il computer completamente vuoto.

Gli attacchi di tipo wiper sono spesso associati ad attacchi informatici di alto profilo, come quelli che mirano ad aziende o organizzazioni governative. Tuttavia, i wiper possono colpire anche singoli utenti e piccole aziende, causando danni considerevoli.

Le loro origini dei wiper

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In generale, i wiper sembrano essere nati come un tipo di malware che veniva utilizzato da governi o gruppi terroristici per distruggere dati sensibili o per creare disordini. Tuttavia, negli ultimi anni, il loro utilizzo si è esteso anche ad attacchi informatici condotti da criminali con scopi di lucro.

Negli ultimi anni, ci sono stati anche diversi attacchi di tipo wiper condotti da gruppi di criminali informatici con l’obiettivo di estorcere denaro dalle vittime. In questi casi, i wiper vengono utilizzati come strumento di minaccia per costringere le vittime a pagare un riscatto per ripristinare i propri dati.

In ogni caso, i wiper sono considerati uno dei tipi di malware più distruttivi e pericolosi, in grado di causare danni ingenti e irreparabili ai sistemi informatici.

Il primo wiper della storia non è noto con certezza, poiché il termine “wiper” è stato coniato relativamente di recente per descrivere un ceppo specifico di malware che cancella o distrugge i dati. Tuttavia, ci sono stati diversi casi di malware che hanno distrutto i dati dei sistemi infettati sin dagli anni ’80 e ’90.

Da allora, il numero e la complessità dei wiper sono cresciuti in modo esponenziale, e oggi rappresentano una delle minacce più temibili per la sicurezza informatica.

I wiper più famosi

Nel corso della storia recente, diversi Wiper distruttivi hanno fatto comparsa sulla scena, sempre però utilizzati per fini di guerra cibernetica oppure ad attacchi ad organizzazioni governative. I più conosciuti sono:

• Shamoon: Questo malware è stato utilizzato per la prima volta nel 2012 in un attacco contro la compagnia petrolifera saudita Aramco, causando la cancellazione di oltre 30.000 computer. Il malware ha successivamente colpito altre aziende saudite e del Medio Oriente. L’attribuzione ufficiale di Shamoon è stata contestata, ma è stato segnalato che il malware potrebbe essere stato sviluppato da gruppi sponsorizzati dallo stato iraniano.
• ZeroCleare: Questo malware è stato utilizzato nel 2019 in un attacco contro il settore energetico saudita. Il malware ha cercato di cancellare i dati sui dischi rigidi dei computer infettati, ma l’attacco è stato sventato prima che potesse causare danni significativi. L’attribuzione ufficiale non è stata resa nota, ma è stato segnalato che il malware potrebbe essere stato creato da gruppi sponsorizzati dallo stato iraniano.
• NotPetya: un malware wiper scoperto nel 2017, che ha causato danni significativi a livello globale. NotPetya si è diffuso principalmente tramite una vulnerabilità in un software di contabilità ucraino, ma ha colpito anche molte altre aziende in tutto il mondo. Il wiper ha sovrascritto i file sui computer infetti, rendendoli completamente inutilizzabili. Nonostante un eventuale pagamento risulti inutile, NotPetya si presenta comunque come un ransomware, avvertendo l’utente dell’accaduto e chiedendo un riscatto in bitcoin per riottenere i file. Data l’impossibilità di recupero dei dati e l’estrema distruttività, non viene più identificato come ransomware ma come wiper.
• Isaac Wiper: è un wiper di origine presumibilmente russa che cancella chirurgicamente i dati dalle reti e dai dispositivi governativi, pianificato per essere lanciato nella guerra contro l’Ucraina.

L’attacco wiper alla Sony Pictures

Il 24 novembre 2014, un gruppo di hacker Lazarus Group (conosciuti anche come Guardians of Peace oppure come Whois Team) ha fatto trapelare dei dati riservati dallo studio cinematografico Sony Pictures Entertainment (SPE). I dati includevano informazioni personali sui dipendenti di Sony Pictures e le loro famiglie, e-mail tra dipendenti, informazioni sugli stipendi dei dirigenti dell’azienda, copie di film Sony allora inediti, piani per futuri film Sony, sceneggiature per alcuni film e altre informazioni.

Durante l’hack, il gruppo ha chiesto alla Sony di ritirare il suo film di prossima uscita The Interview , una commedia su un complotto per assassinare il leader nordcoreano Kim Jong-un e ha minacciando attacchi terroristici nei cinema che proiettavano il film.

Dopo che molte delle principali catene cinematografiche statunitensi hanno deciso di non proiettare The Interview in risposta a queste minacce, Sony ha scelto di annullare la prima formale e l’uscita mainstream del film, optando per passare direttamente a un’uscita digitale.

I funzionari dell’intelligence statunitense, dopo aver valutato il malware utilizzato (una variante del malware Shamoon wiper), le tecniche e le fonti di rete utilizzate nell’hack, hanno concluso che l’attacco era sponsorizzato dal governo della Corea del Nord, che negò ogni responsabilità.

Gli autori hanno utilizzato il wiper cancellare l’infrastruttura informatica della Sony.

Come difendersi dai Wiper

Per difendersi dai wiper, occorre seguire molte regole di buon senso che spesso ritroviamo in tutt ele buone pratiche di sicurezza informatica.

Le misure che è possibile adottare per proteggersi dai wiper sono:

1. Backup regolari dei dati: Il modo più efficace per proteggersi dai wiper è di effettuare backup regolari dei propri dati su dispositivi di storage esterni o su cloud. In caso di attacco da parte di un wiper, è possibile ripristinare i dati dalla copia di backup.
2. Installazione di software di sicurezza: L’installazione di software di sicurezza, come antivirus e firewall, può aiutare a prevenire l’infezione da malware e a rilevare eventuali attacchi.
3. Aggiornamento del software: Mantenere il software aggiornato è importante per correggere le vulnerabilità note che potrebbero essere sfruttate dai wiper.
4. Utilizzo di password robuste: Utilizzare password complesse per l’accesso ai propri dispositivi e account online può aiutare a prevenire l’accesso non autorizzato da parte di criminali informatici.
5. Formazione degli utenti: Formare gli utenti riguardo alle migliori pratiche di sicurezza informatica, come l’identificazione di email di phishing e l’uso consapevole dei social media, può aiutare a prevenire l’infezione da malware.
6. Isolare i sistemi: Isolare i sistemi critici, come quelli utilizzati in ambienti industriali, dal resto della rete può limitare il potenziale danno causato da un attacco di malware.
7. Monitoraggio costante: Monitorare costantemente la rete e i sistemi per rilevare eventuali attività sospette può aiutare a identificare e mitigare gli attacchi prima che possano causare danni irreparabili.

Adottare queste misure può aiutare a prevenire l’infezione da wiper e limitare il potenziale danno causato da un attacco di malware

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli