CYBER NEWS

De verrijzenis van Shamoon Wiper Malware

malware-header-stforum

De komende winter vakantie helder weer niet alleen nieuwe cyberdreigingen, maar ook oude malware stukken. Dat is precies het geval met Shamoon malware die blijkbaar is teruggekeerd naar de malware scène na een vier jaar vakantie. Reports from security companies Symantec and Palo Alto reveal details about its resurrection.


Shamoon Targets Saudi Companies Once Again

Shamoon, a.k.a. Disstrack werd aanvankelijk ontdekt ongeveer vier jaar geleden in aanvallen tegen Saudi Aramco Oil Company. Zijn bedoeling was om af te vegen duizenden computers.

Deze keer, the malware is targeting another Saudi organization, which hasn’t been revealed yet. And its agenda is not just wiping companies’ machines but also overwriting their Master Boot Records with the image of Aylan Kurdi’s corpse. De aanval vond plaats op november 17 which is a Muslim holiday. De aanvallers meest waarschijnlijke gekozen die datum om veiligheidsmaatregelen te omzeilen.

Verwant: Hoe gemakkelijk het is om een ​​organisatie te Hack

Blijkbaar, Shamoon had a list of hardcoded logins, which allowed the malware to perform its malicious activities quicker. This also means that the targeted company had already been breached. Volgens Palo Alto, the attackers could be the same ones from Shamoon’s initial campaigns four years ago.

“The current attack campaign has several TTP overlaps with the original Shamoon campaign, especially from a targeting and timing perspective.”

“Disttrack malware used in the recent attacks is very similar to the variant used in the 2012 aanvallen, which uses the exact same RawDisk device driver as well.”


Shamoon/ Disttrack Malware Technical Overview

Palo Alto explains that the malware is comprised of three distinct parts:

  • dropper;
  • communicatie;
  • Wiper components.

Verwant: Privileged Users Zijn de meest risicovolle in een organisatie, Beveiliging Survey Zegt

The main executable is a dropper deployed to extract additional tools from embedded resources. It’s also used to coordinate when to save and execute them.

Embedded within each Disttrack sample is a component responsible for communicating with a C2 server and a separate component used to carry out the wiping functionality.

The malware’s main purpose is data destruction, thus attempting to damage as many systems as possible. That’s why it tries to spread to other systems on the network via stolen admin credentials. Zoals opgemerkt door de onderzoekers, this is a tactic quite similar to the one deployed in the 2012 aanvallen.

Disttrack/ Shamoon is also capable of downloading and executing additional apps to targeted systems, and remotely setting the date to start wiping systems.


Why Are Attackers Using Wiper Malware?

The purpose of this type of malware is, duidelijk, not financial gain. These types of attacks are mainly deployed to cause chaos in an organization, and could be linked to hacktivist groups or politically-engaged attackers. They could also be used to destroy evidence or cover tracks of data exfiltration.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Blijf kijken
Schrijf u in voor onze nieuwsbrief over de nieuwste cyberveiligheid en-tech gerelateerd nieuws.