CYBER NEWS

La Risurrezione di Shamoon Wiper malware

il malware-header-stforum

Le prossime vacanze invernali luminose indietro non solo nuove minacce informatiche, ma anche vecchi pezzi di malware. Questo è esattamente il caso di Shamoon di malware che a quanto pare è tornato sulla scena del malware dopo una vacanza quattro anni. Reports from security companies Symantec and Palo Alto reveal details about its resurrection.


Shamoon Targets Saudi Companies Once Again

Shamoon, a.k.a. Disstrack è stato inizialmente rilevato circa quattro anni fa in attacchi contro Saudi Aramco Oil Company. La sua intenzione era quella di cancellare migliaia di computer.

Questa volta, the malware is targeting another Saudi organization, which hasn’t been revealed yet. And its agenda is not just wiping companies’ machines but also overwriting their Master Boot Records with the image of Aylan Kurdi’s corpse. L'attacco ha avuto luogo nel novembre 17 which is a Muslim holiday. Gli aggressori probabilmente hanno scelto questa data per aggirare le misure di sicurezza.

Correlata: Come è facile Hack un'organizzazione

Apparentemente, Shamoon had a list of hardcoded logins, which allowed the malware to perform its malicious activities quicker. This also means that the targeted company had already been breached. Secondo Palo Alto, the attackers could be the same ones from Shamoon’s initial campaigns four years ago.

“The current attack campaign has several TTP overlaps with the original Shamoon campaign, especially from a targeting and timing perspective.”

“Disttrack malware used in the recent attacks is very similar to the variant used in the 2012 attacchi, which uses the exact same RawDisk device driver as well.”


Shamoon/ Disttrack Malware Technical Overview

Palo Alto explains that the malware is comprised of three distinct parts:

  • Contagocce;
  • comunicazioni;
  • Wiper components.

Correlata: Gli utenti privilegiati sono la più rischiosa in un'organizzazione, Sicurezza Indagine dice

The main executable is a dropper deployed to extract additional tools from embedded resources. It’s also used to coordinate when to save and execute them.

Embedded within each Disttrack sample is a component responsible for communicating with a C2 server and a separate component used to carry out the wiping functionality.

The malware’s main purpose is data destruction, thus attempting to damage as many systems as possible. That’s why it tries to spread to other systems on the network via stolen admin credentials. Come sottolineato dai ricercatori, this is a tactic quite similar to the one deployed in the 2012 attacchi.

Disttrack/ Shamoon is also capable of downloading and executing additional apps to targeted systems, and remotely setting the date to start wiping systems.


Why Are Attackers Using Wiper Malware?

The purpose of this type of malware is, ovviamente, not financial gain. These types of attacks are mainly deployed to cause chaos in an organization, and could be linked to hacktivist groups or politically-engaged attackers. They could also be used to destroy evidence or cover tracks of data exfiltration.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Rimanete sintonizzati
Iscriviti alla nostra newsletter per quanto riguarda le ultime sicurezza informatica e notizie di tecnologia legate.