Le prossime vacanze invernali luminose indietro non solo nuove minacce informatiche, ma anche vecchi pezzi di malware. Questo è esattamente il caso di Shamoon di malware che a quanto pare è tornato sulla scena del malware dopo una vacanza quattro anni. I rapporti delle società di sicurezza Symantec e Palo Alto rivelano dettagli sulla sua resurrezione.
Shamoon prende di nuovo di mira le aziende saudite
Shamoon, a.k.a. Disstrack è stato inizialmente rilevato circa quattro anni fa in attacchi contro Saudi Aramco Oil Company. La sua intenzione era quella di cancellare migliaia di computer.
Questa volta, il malware prende di mira un'altra organizzazione saudita, che non è stato ancora rivelato. E la sua agenda non è solo pulire le macchine delle aziende, ma anche sovrascrivere i loro Master Boot Records con l'immagine del cadavere di Aylan Kurdi. L'attacco ha avuto luogo nel novembre 17 che è una festa musulmana. Gli aggressori probabilmente hanno scelto questa data per aggirare le misure di sicurezza.
Correlata: Come è facile Hack un'organizzazione
Apparentemente, Shamoon aveva una lista di accessi hardcoded, che ha permesso al malware di svolgere le sue attività dannose più rapidamente. Ciò significa anche che la società presa di mira era già stata violata. Secondo Palo Alto, gli aggressori potrebbero essere gli stessi delle campagne iniziali di Shamoon quattro anni fa.
"L'attuale campagna di attacco ha diverse sovrapposizioni TTP con la campagna Shamoon originale, soprattutto dal punto di vista del targeting e della tempistica".
"Il malware Disttrack utilizzato nei recenti attacchi è molto simile alla variante utilizzata nel 2012 attacchi, che utilizza anche lo stesso identico driver di dispositivo RawDisk.”
Panoramica tecnica del malware Shamoon/ Disttrack
Palo Alto spiega che il malware è composto da tre parti distinte:
- Contagocce;
- comunicazioni;
- Componenti del tergicristallo.
Correlata: Gli utenti privilegiati sono la più rischiosa in un'organizzazione, Sicurezza Indagine dice
L'eseguibile principale è un contagocce distribuito per estrarre strumenti aggiuntivi dalle risorse incorporate. È anche usato per coordinare quando salvarli ed eseguirli.
All'interno di ogni campione Disttrack è incorporato un componente responsabile della comunicazione con un server C2 e un componente separato utilizzato per eseguire la funzionalità di cancellazione.
Lo scopo principale del malware è la distruzione dei dati, tentando così di danneggiare quanti più sistemi possibile. Ecco perché cerca di diffondersi ad altri sistemi sulla rete tramite credenziali di amministratore rubate. Come sottolineato dai ricercatori, questa è una tattica abbastanza simile a quella impiegata nel 2012 attacchi.
Disttrack/ Shamoon è anche in grado di scaricare ed eseguire app aggiuntive su sistemi mirati, e impostare da remoto la data per iniziare a pulire i sistemi.
Perché gli aggressori utilizzano il malware Wiper??
Lo scopo di questo tipo di malware è, ovviamente, non guadagno finanziario. Questi tipi di attacchi vengono utilizzati principalmente per causare il caos in un'organizzazione, e potrebbe essere collegato a gruppi di attivisti informatici o aggressori impegnati politicamente. Potrebbero anche essere usati per distruggere prove o coprire tracce di esfiltrazione di dati.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: