Breaking

Post Top Ad

Your Ad Spot

jueves, 5 de diciembre de 2019

IBM detecta nuevo malware iraní de borrado de datos 'ZeroCleare'

Ahora se dice que un nuevo malware que es capaz de borrar toda la información confidencial de los secretos de una nación está atacando a pocas compañías de energía en el Medio Oriente. El equipo de investigación de IBM ha nombrado a este malware como ZeroCleare, donde estudiaron y detallaron su red de trabajo en un informe de 28 páginas en su sitio.
En la búsqueda de ganar dominio sobre los demás, los países con armas pesadas y tecnología siempre ganarán. Y uno de ellos está aquí; ataques de malware en los recursos de los demás. Los investigadores de seguridad de IBM X-Force han detectado un nuevo malware que los atacantes de Irán están difundiendo para borrar los datos de los sistemas. Se explica claramente a continuación.
Malware de limpieza de datos 'ZeroCleare'
Imagen a través de DeskDecode
Al igual que otros limpiadores pasados, IBM dijo que esto se implementaría para borrar la información confidencial de los sistemas. El objetivo de estos malwares es obstaculizar las operaciones comerciales de las víctimas para enmascarar cualquier intrusión causada. IBM no especificó cuáles son esas compañías de energía infectadas. Además reveló que hay dos versiones de este malware creado; uno para sistemas de 32 bits y otro de 64 bits. Solo se dijo que este último estaba operativo actualmente.

Flujo de trabajo

Navegación
Este malware, al principio, intenta un ataque de fuerza bruta en sistemas vulnerables y, si tiene éxito, explotará la vulnerabilidad de SharePoint para instalar shells web. Una vez ingresados, se extenderán por toda la red explotando los controladores vulnerables e instalando scripts de PowerShell / Batch que podrían omitir los controles de Windows.
Después de establecerse, cargaría un kit de herramientas legítimo como EldoS RawDisk para interactuar con archivos, discos y particiones. Este acceso se utiliza para borrar el MBR y dañar las particiones del disco en una gran cantidad de dispositivos en red.

Los grupos respaldados por el estado

IBM detalló en su informe que este despliegue de malware es realizado por dos grupos de piratería de propiedad estatal de Irán; xHunt y APT34 . Decía: "Basado en el análisis del malware y el comportamiento de los atacantes, sospechamos que los adversarios del estado-nación con sede en Irán estuvieron involucrados para desarrollar y desplegar este nuevo limpiador" como en sus informes. Confirma que es una creación de xHunt y APT34.

Se asemeja a Shamoon

Se dice que este nuevo malware se parece mucho a Shamoon, que es uno de esos tipos de malware que logró eliminar datos en el pasado. El modus operandi y los objetivos de ZeroCleare son como los de Shamoon, ya que también atacaron a compañías basadas en energía de Arabia Saudita en el pasado. Mientras que Shamoon fue llevado a cabo por el grupo APT33 respaldado por el estado de Irán, esto fue llevado a cabo por otros nuevos. IBM inicialmente informó que algunos (tal vez más) del equipo de APT33 podrían estar involucrados en este nuevo caso, pero luego aclaró del nuevo equipo como xHunt y APT34.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

Post Top Ad

Your Ad Spot

Páginas