Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Era un “wiper”, il malware del cyber attack alle ferrovie Iraniane.

Redazione RHC : 30 Luglio 2021 08:11

L’attacco informatico, che ha paralizzato le ferrovie Iraniane all’inizio di questo mese (incidente che abbiamo trattato su RHC), non è stato effettuato utilizzando un ransomware, come si pensava in precedenza, ma un malware della classe dei wiper, chiamato Meteor, che cancella tutti i dati memorizzati sul sistema.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Sembra paradossale, ma i wiper, quelli più famosi sono stati proprio creati dall’Iran (ricordiamoci di Shamoon, ZeroCleare e Dustman). Si tratta di un malware “distruttivo”, inizialmente creato per essere utilizzati negli attacchi contro le compagnie petrolifere iraniane, ma successivamente utilizzato per arrecare danni alle reti attaccate da gruppi terroristici o national state.

Secondo Juan Andres Guerrero-Saade, un ricercatore senior di SentinelOne, una azienda leader nelle analisi di sicurezza delle informazioni, l’incidente alla ferrovia iraniana ha visto l’utilizzo di Meteor, anche se gli esperti non sono ancora stati in grado di comprendere se sia un atto di qualche gruppo criminale già noto.

Secondo un’analisi dei ricercatori di SentinelOne, Meteor (nome in codice MeteorExpress) utilizza:

  1. Il file msetup.exe che svolge il ruolo di blocco dello schermo, spesso utilizzato dai ransomware per impedire agli utenti di accedere ai contenuti dei propri computer;
  2. Il file nti.exe che sovrascrive il Master Boot Record (MBR) sul computer della vittima.

Guerrero-Saade non ha spiegato come o dove è iniziato l’attacco, ma ha affermato che una volta all’interno della rete attaccata, gli aggressori hanno iniziato a distribuire il malware, eliminando le copie shadow per impedire il ripristino dei dati e disconnettere gli host infetti dal controller di dominio locale, in modo che gli amministratori di sistema non sono stati in grado di intraprendere immediatamente una azione appropriata.

Al completamento dell’attacco, tutti i dati sui computer sono stati cancellati e sullo schermo è apparsa una notifica che invitava la vittima a chiamare l’amministrazione del leader iraniano Ali Khamenei.

Sebbene l’attacco sembri uno scherzo crudele al governo iraniano, il malware utilizzato è tutt’altro che uno scherzo.

Secondo Guerrero-Saade, tutti gli strumenti utilizzati nell’attacco sono un “selvaggio mix di codice personalizzato”, inclusi componenti open source, software legacy e componenti scritti da zero, “pieni di controlli sugli errori e ridondanza nel raggiungimento dei loro obiettivi”.

Mentre alcune parti del wiper sembrano essere state scritte da uno sviluppatore di malware molto esperto, la natura disorganizzata dell’attacco potrebbe indicare che che l’intera operazione potrebbero essere state eseguite in fretta da più team.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...

Sicurezza Reti Wi-Fi: La Sfida e le Soluzioni Adattive per l’Era Digitale

La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...