Formattare il computer e reinstallare un nuovo sistema operativo potrebbe non essere più sufficiente. Il team di ricercatori ESET, tra le principali aziende di sicurezza informatica a livello globale, hanno recentemente scoperto il ritorno del virus rootkit Lojax, un malware spia impossibile da eliminare.
I rootkit sono programmi malevoli che vanno a installarsi direttamente nel Bios (Basic Input-Output System) attivandosi automaticamente ad ogni accensione del pc prima del caricamento di Windows. Fino a qualche anno fa, pur essendo già difficile identificare questo genere di virus, l’unica soluzione era quella di riprogrammare la scheda madre con un Bios nuovo con il timore che un altro rootkit potesse nuovamente infettare il computer.
Per questo motivo nel 2005 l’Unified EFI Forum, un gruppo di lavoro composto da diverse aziende del settore informatico, hanno rielaborato i vecchi bios dando vita a UEFI (Unified Extensible Firmware Interface) un sistema più sicuro, in grado di impedire l’accesso ai malware. Purtroppo, con il passare del tempo, sono state scoperte una serie di falle e vulnerabilità anche all’interno del sistema UEFI. Funesto presagio di un possibile ritorno dei rootkit. Così è stato.
IL VIRUS IMPOSSIBILE DA ELIMINARE Lojax non è un rootkit come gli altri: non si installa all’interno del disco rigido ma va a infettare direttamente la scheda madre danneggiando l’UEFI. Secondo le analisi dei ricercatori il virus è stato sviluppato e diffuso nell’ambito di una campagna di spionaggio condotta dal gruppo di cyber criminali chiamato Sednit e che si firma anche Strontium. Al momento il rischio per cittadini o imprese è minimo, il timore è che possa colpire bersagli molto specifici come enti governativi e grandi aziende.
APT28: GLI HACKER RUSSI CHE TERRORIZZANO L’EUROPA La APT28 è un gruppo di cyber spionaggio russo molto noto e composto dai migliori hacker del paese. A luglio hanno lanciato una campagna contro diverse imprese nel settore ospedaliero e alberghiero in almeno sette paese europei. In Italia, dal 2014 al 2016, hanno firmato una serie di attacchi informatici contro il Ministero della Difesa e quello degli Esteri. Non è noto da quante persone sia composta la squadra e nemmeno di che genere di fondi disponga ma si sospetta possa essere collegata direttamente al Cremlino.