Las próximas vacaciones de invierno brillante luz no sólo las nuevas amenazas informáticas, sino también antiguas piezas de malware. Eso es exactamente el caso de Shamoon software malicioso que al parecer ha vuelto a la escena de malware después de un año de vacaciones de cuatro. Los informes de las compañías de seguridad de Symantec y Palo Alto revelan detalles sobre su resurrección.
Shamoon dirigida a empresas saudíes Otra vez
Shamoon, a.k.a. Disstrack se detectó inicialmente hace unos cuatro años en los ataques contra Arabia Oil Company Aramco. Su intención era exterminar a miles de ordenadores.
En esta época, el malware se dirige a otra organización de Arabia, que no ha sido revelado aún. Y su agenda no sólo está limpiando las máquinas de las empresas, sino también sobrescribir los registros de arranque maestro con la imagen del cadáver de Aylan Kurdi. El ataque tuvo lugar de noviembre 17 que es una fiesta musulmana. Los atacantes más probable es que eligieron esta fecha para eludir las medidas de seguridad.
Relacionado: Lo fácil que es para cortar una Organización
Al parecer,, Shamoon tenía una lista de inicios de sesión codificadas, lo que permitió que el malware para llevar a cabo sus actividades maliciosas más rápido. Esto también significa que la empresa en cuestión ya había sido violada. De acuerdo a Palo Alto, los atacantes podrían ser los mismos de las campañas iniciales de Shamoon hace cuatro años.
"La campaña de ataque actual tiene varios TTP se solapa con la campaña original Shamoon, especialmente desde una orientación y perspectiva de los tiempos ".
"Malware se Disttrack utilizado en los recientes ataques es muy similar a la variante utilizada en el 2012 ataques, que utiliza el controlador de dispositivo misma RawDisk exacta así ".
Shamoon / Disttrack descripción técnica de malware
Palo Alto explica que el malware se compone de tres partes bien diferenciadas:
- Cuentagotas;
- comunicaciones;
- componentes del limpiaparabrisas.
Relacionado: Los usuarios privilegiados son los más riesgosos en una organización, Estudio de Seguridad dice
El ejecutable principal es un gotero desplegado para extraer herramientas adicionales de recursos incrustados. También se usa para coordinar cuándo ahorrar y ejecutarlos.
Embedded dentro de cada muestra Disttrack es un responsable componente para la comunicación con un servidor de C2 y un componente separado utilizado para llevar a cabo la funcionalidad de limpieza.
El principal objetivo del malware es la destrucción de datos, intentando así dañar tantos sistemas como sea posible. Es por eso que intenta propagarse a otros sistemas en la red a través de credenciales de administrador robados. Como se ha señalado por los investigadores, esta es una táctica bastante similar a la desplegada en el 2012 ataques.
Disttrack / Shamoon también es capaz de descargar y ejecutar aplicaciones adicionales para los sistemas de destino, y establecer de forma remota la fecha para iniciar sistemas limpiándose.
¿Por qué son los atacantes de utilizar limpiaparabrisas malware?
El propósito de este tipo de malware es, obviamente, No ganancia financiera. Este tipo de ataques se despliegan principalmente para causar el caos en una organización, y podría estar relacionado con grupos hacktivistas o atacantes que participan políticamente. También se podrían utilizar para destrucción de pruebas, la cubierta pistas de exfiltración de datos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: