MALWARE SHAMOON TAMBIEN CONOCIDO COMO DISTTRACK

Fecha actualización el 2016-12-1. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio

Shamoon está de vuelta, los expertos en seguridad de Palo Alto Networks y Symantec detectaron un ataque a una compañía saudí

Shamoon, también conocido como Disttrack, fue descubierto por primera vez en una serie de ataques que tenía como objetivo empresas en Arabia Saudí en 2012. Entre las víctimas, se produjo el gigante de gasolina Saudi Aramco. La capacidad principal de Shamoon es una característica que permite que limpia los datos de los discos duros de los sistemas infectados.

En el ataque contra la Saudi Aramco Shamoon elimino datos sobre más de 30.000 computadoras y volvio a escribir el disco duro MBR (Master Boot Record) con una imagen de una bandera de Estados Unidos en llamas.

El primer equipo que descubrió el malware de Kaspersky Lab fue quien había analizado algunos casos de la amenaza vinculada al "wiper agent" debido a la presencia de un módulo de una cadena con un nombre que incluye "wiper" como parte de ella.

El investigador de Seculert que analizó Shamoon descubrio que también tiene la posibilidad de sobrescribir el MBR de la máquina. Antes Shamoon hace inservible el PC infectado, que recoge los datos de la víctima, que roba información, tomando los datos de las carpetas, 'Documents and Settings' los 'users', y 'System32/Drivers' y '/System32/config' en los ordenadores Windows, y enviarlos a otro PC infectado en la misma red interna.

El malware ha sido desarrollado para destruir los sistemas de destino, por lo que la máquina es inutilizable. El malware fue capaz de infectar a varios sistemas operativos, incluyendo Windows 95, Windows 98, Windows XP, Windows 200, Windows Vista, Windows NT, Windows ME, Windows 7, Windows Server 2003 y Windows Server 2008.

Ahora la amenaza está de vuelta, los expertos en seguridad detectados una nueva ola de ataques. Los expertos de Palo Alto Networks y Symantec informó de un ataque de una sola compañía saudí.

"La semana pasada, Unit 41 se encontró con nuevas muestras Disttrack que parecen haber sido utilizados en una campaña de ataque actualizada. El ataque dirigido al menos una organización en Arabia Saudita, que se alinea con la focalización de los ataques iniciales Shamoon. Al parecer, el propósito de las nuevas muestras Disttrack se centra únicamente en la destrucción, ya que las muestras fueron configurados con un servidor C2 no operativo de informar y estaban listos para comenzar a borrar los datos con exactitud el 17/11/2016 a 20:45. En otra similitud con Shamoon, este es el final de la semana de trabajo en Arabia Saudita (su semana de trabajo es de domingo a jueves), por lo que el malware potencialmente tenido todo el fin de semana para propagarse.

Los ataques tuvieron lugar el Shamoon Lailat al Qadr, la noche más santa del año para los musulmanes, otra vez que los atacantes podrían estar razonablemente seguros de los empleados no estarían en el trabajo. "segun análisis publicado por Palo Alto Networks.

La nueva variante de Shamoon detectado por los expertos es capaz de reescribir el MBR en equipos afectados con una imagen de un niño sirio de tres años de edad, llamado Alan Kurdi que yacía muerto en una playa de Turquía.

De acuerdo con Symantec, esta es una operación cuidadosamente planeada. El malware ha sido configurado con las contraseñas que parecen haber sido robado de las organizaciones dirigidas. Los atacantes utilizan estas credenciales para propagarse rápidamente a la amenaza en la red de una organización concreta. Todavía no está claro cómo los atacantes obtienen las credenciales, de todos modos esto.

El malware viene con una configuración por defecto, se puso en marcha el componente de disco limpiando a las 8:45 pm hora local del jueves 17. Teniendo en cuenta que en Arabia Saudita la semana de trabajo se ejecuta de domingo a jueves de noviembre, el atacante trató de explotar la pausa con el fin para maximizar los efectos del ataque.

El ataque fue planeado para comenzar en noche del destino (la Noche del Decreto), que es una fiesta musulmana. El análisis del malware reveló que es era casi idéntica a la utilizada en los ataques del 2012.

Su infraestructura se compone de tres componentes, un cuentagotas, un limpiaparabrisas, y un módulo de comunicaciones que aseguró a los atacantes para controlar de forma remota el software malicioso.

En el reciente ataque, el componente de las comunicaciones a distancia se ha configurado con la dirección IP 1.1.1.1, que no alojar el servidor Shamoon C & C. Esta circunstancia sugiere que el plan de los atacantes no incluía la posibilidad de cambiar el tratamiento.

De acuerdo con Palo Alto Networks, desde un punto de vista la funcionalidad, el limpiador es accionado por unidad de controlador EldoS RawDisk que es capaz de sobreescribir archivos en el sistema sin ninguna interacción con el sistema operativo.

Los expertos creen que el grupo detrás de este último ataque es el responsable del corte 2012 también, por ejemplo, los investigadores notaron que el conductor EldoS RawDisk alterada hora del sistema del huésped infectado a agosto de 2012, justo un día antes de la fecha de caducidad para el conductor del temporal licencia. La licencia fue el mismo utilizado en los ataques de 2012.


Comenta y comparte en Compartir en Google+
Malware Shamoon