CYBER NOTICIAS

La resurrección de Shamoon limpiaparabrisas malware

el malware-header-stforum

Las próximas vacaciones de invierno brillante luz no sólo las nuevas amenazas informáticas, sino también antiguas piezas de malware. Eso es exactamente el caso de Shamoon software malicioso que al parecer ha vuelto a la escena de malware después de un año de vacaciones de cuatro. Los informes de las compañías de seguridad de Symantec y Palo Alto revelan detalles sobre su resurrección.


Shamoon dirigida a empresas saudíes Otra vez

Shamoon, a.k.a. Disstrack se detectó inicialmente hace unos cuatro años en los ataques contra Arabia Oil Company Aramco. Su intención era exterminar a miles de ordenadores.

En esta época, el malware se dirige a otra organización de Arabia, que no ha sido revelado aún. Y su agenda no sólo está limpiando las máquinas de las empresas, sino también sobrescribir los registros de arranque maestro con la imagen del cadáver de Aylan Kurdi. El ataque tuvo lugar de noviembre 17 que es una fiesta musulmana. Los atacantes más probable es que eligieron esta fecha para eludir las medidas de seguridad.

Relacionado: Lo fácil que es para cortar una Organización

Al parecer,, Shamoon tenía una lista de inicios de sesión codificadas, lo que permitió que el malware para llevar a cabo sus actividades maliciosas más rápido. Esto también significa que la empresa en cuestión ya había sido violada. De acuerdo a Palo Alto, los atacantes podrían ser los mismos de las campañas iniciales de Shamoon hace cuatro años.

"La campaña de ataque actual tiene varios TTP se solapa con la campaña original Shamoon, especialmente desde una orientación y perspectiva de los tiempos ".

"Malware se Disttrack utilizado en los recientes ataques es muy similar a la variante utilizada en el 2012 ataques, que utiliza el controlador de dispositivo misma RawDisk exacta así ".


Shamoon / Disttrack descripción técnica de malware

Palo Alto explica que el malware se compone de tres partes bien diferenciadas:

  • Cuentagotas;
  • comunicaciones;
  • componentes del limpiaparabrisas.

Relacionado: Los usuarios privilegiados son los más riesgosos en una organización, Estudio de Seguridad dice

El ejecutable principal es un gotero desplegado para extraer herramientas adicionales de recursos incrustados. También se usa para coordinar cuándo ahorrar y ejecutarlos.

Embedded dentro de cada muestra Disttrack es un responsable componente para la comunicación con un servidor de C2 y un componente separado utilizado para llevar a cabo la funcionalidad de limpieza.

El principal objetivo del malware es la destrucción de datos, intentando así dañar tantos sistemas como sea posible. Es por eso que intenta propagarse a otros sistemas en la red a través de credenciales de administrador robados. Como se ha señalado por los investigadores, esta es una táctica bastante similar a la desplegada en el 2012 ataques.

Disttrack / Shamoon también es capaz de descargar y ejecutar aplicaciones adicionales para los sistemas de destino, y establecer de forma remota la fecha para iniciar sistemas limpiándose.


¿Por qué son los atacantes de utilizar limpiaparabrisas malware?

El propósito de este tipo de malware es, obviamente, No ganancia financiera. Este tipo de ataques se despliegan principalmente para causar el caos en una organización, y podría estar relacionado con grupos hacktivistas o atacantes que participan políticamente. También se podrían utilizar para destrucción de pruebas, la cubierta pistas de exfiltración de datos.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Manténganse al tanto
Suscribirse a nuestro boletín respecto a la última ciberseguridad y noticias relacionadas con la tecnología,.