Redazione RHC : 30 Luglio 2021 08:11
L’attacco informatico, che ha paralizzato le ferrovie Iraniane all’inizio di questo mese (incidente che abbiamo trattato su RHC), non è stato effettuato utilizzando un ransomware, come si pensava in precedenza, ma un malware della classe dei wiper, chiamato Meteor, che cancella tutti i dati memorizzati sul sistema.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Sembra paradossale, ma i wiper, quelli più famosi sono stati proprio creati dall’Iran (ricordiamoci di Shamoon, ZeroCleare e Dustman). Si tratta di un malware “distruttivo”, inizialmente creato per essere utilizzati negli attacchi contro le compagnie petrolifere iraniane, ma successivamente utilizzato per arrecare danni alle reti attaccate da gruppi terroristici o national state.
Secondo Juan Andres Guerrero-Saade, un ricercatore senior di SentinelOne, una azienda leader nelle analisi di sicurezza delle informazioni, l’incidente alla ferrovia iraniana ha visto l’utilizzo di Meteor, anche se gli esperti non sono ancora stati in grado di comprendere se sia un atto di qualche gruppo criminale già noto.
Secondo un’analisi dei ricercatori di SentinelOne, Meteor (nome in codice MeteorExpress) utilizza:
Guerrero-Saade non ha spiegato come o dove è iniziato l’attacco, ma ha affermato che una volta all’interno della rete attaccata, gli aggressori hanno iniziato a distribuire il malware, eliminando le copie shadow per impedire il ripristino dei dati e disconnettere gli host infetti dal controller di dominio locale, in modo che gli amministratori di sistema non sono stati in grado di intraprendere immediatamente una azione appropriata.
Al completamento dell’attacco, tutti i dati sui computer sono stati cancellati e sullo schermo è apparsa una notifica che invitava la vittima a chiamare l’amministrazione del leader iraniano Ali Khamenei.
Sebbene l’attacco sembri uno scherzo crudele al governo iraniano, il malware utilizzato è tutt’altro che uno scherzo.
Secondo Guerrero-Saade, tutti gli strumenti utilizzati nell’attacco sono un “selvaggio mix di codice personalizzato”, inclusi componenti open source, software legacy e componenti scritti da zero, “pieni di controlli sugli errori e ridondanza nel raggiungimento dei loro obiettivi”.
Mentre alcune parti del wiper sembrano essere state scritte da uno sviluppatore di malware molto esperto, la natura disorganizzata dell’attacco potrebbe indicare che che l’intera operazione potrebbero essere state eseguite in fretta da più team.
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006