A próxima brilhante férias de inverno para trás não só novas ameaças cibernéticas, mas também peças de malware velhos. Isso é exatamente o caso com Shamoon malwares que tem, aparentemente, voltou à cena de malware após um período de férias quatro anos. Relatórios das empresas de segurança Symantec e Palo Alto revelam detalhes sobre sua ressurreição.
Shamoon tem como alvo empresas sauditas mais uma vez
Shamoon, a.k.a. Disstrack foi detectado inicialmente há cerca de quatro anos em ataques contra a Saudi Oil Company Aramco. Sua intenção era limpar milhares de computadores.
Este torno do tempo, o malware tem como alvo outra organização saudita, que ainda não foi revelado. E sua agenda não é apenas limpar as máquinas das empresas, mas também sobrescrever seus Master Boot Records com a imagem do cadáver de Aylan Kurdi. O ataque ocorreu em novembro 17 que é um feriado muçulmano. Os invasores provavelmente escolheram essa data para contornar as medidas de segurança.
relacionado: Como é fácil invadir uma organização
Pelo visto, Shamoon tinha uma lista de logins codificados, que permitiu ao malware realizar suas atividades maliciosas mais rapidamente. Isso também significa que a empresa-alvo já foi violada. De acordo com Palo Alto, os atacantes podem ser os mesmos das campanhas iniciais de Shamoon há quatro anos.
“A campanha de ataque atual tem várias sobreposições de TTP com a campanha original do Shamoon, especialmente de uma perspectiva de segmentação e tempo. ”
“O malware Disttrack usado nos ataques recentes é muito semelhante à variante usada no 2012 ataques, que usa exatamente o mesmo driver de dispositivo RawDisk. ”
Visão geral técnica do malware Shamoon / Disttrack
Palo Alto explica que o malware é composto por três partes distintas:
- Conta-gotas;
- Comunicações;
- Componentes do limpador.
relacionado: Os usuários privilegiados são os mais arriscados em uma Organização, Pesquisa de Segurança diz
O principal executável é um conta-gotas implantado para extrair ferramentas adicionais de recursos incorporados. Também é usado para coordenar quando salvá-los e executá-los.
Embutido em cada amostra do Disttrack está um componente responsável pela comunicação com um servidor C2 e um componente separado usado para realizar a funcionalidade de limpeza.
O principal objetivo do malware é a destruição de dados, assim, tentando danificar tantos sistemas quanto possível. É por isso que ele tenta se espalhar para outros sistemas na rede por meio de credenciais de administrador roubadas. Conforme apontado pelos pesquisadores, esta é uma tática bastante semelhante à implantada na 2012 ataques.
Disttrack / Shamoon também é capaz de baixar e executar aplicativos adicionais para sistemas direcionados, e definir remotamente a data para começar a limpar os sistemas.
Por que os invasores estão usando o malware Wiper??
O objetivo deste tipo de malware é, obviamente, não ganho financeiro. Esses tipos de ataques são implantados principalmente para causar o caos em uma organização, e podem estar ligados a grupos hacktivistas ou invasores engajados politicamente. Eles também podem ser usados para destruir evidências ou cobrir rastreamentos de exfiltração de dados.