Los piratas informáticos iraníes implementan el nuevo malware ZeroCleare de borrado de datos


disco duro destruido

Imagen: Markus Spiske

Investigadores de seguridad de IBM dijeron hoy que identificaron una nueva variedad de malware destructivo para la eliminación de datos que fue desarrollada por piratas informáticos patrocinados por el estado iraní y desplegada en ataques cibernéticos contra compañías de energía activas en el Medio Oriente.

IBM no nombró a las compañías que fueron atacadas y que tuvieron datos borrados en ataques recientes.

En cambio, el equipo de seguridad X-Force de IBM se centró en analizar el malware en sí, al que llamaron ZeroCleare.

UNA Informe PDF de 28 páginas está disponible en las capacidades de la herramienta, que IBM dijo que se parece mucho a Shamoon, una de las cepas de malware más peligrosas y destructivas de la última década. Un resumen de los principales hallazgos de este informe se encuentra en el siguiente artículo.

Creado por APT33 y APT34

A diferencia de muchas empresas de ciberseguridad, el equipo X-Drive de IBM no rehuyó atribuir el malware y los ataques a un país específico, en este caso, Irán.

«Con foundation en el análisis del malware y el comportamiento de los atacantes, sospechamos que los adversarios del estado-nación con sede en Irán estuvieron involucrados para desarrollar y desplegar este nuevo limpiador», dijo el equipo de seguridad de IBM.

Pero a diferencia de muchos ataques cibernéticos anteriores, que generalmente se llevan a cabo por un solo grupo, IBM dijo que este malware y los ataques detrás parecen ser los esfuerzos de una colaboración entre las dos principales unidades de piratería respaldadas por el gobierno de Irán.

Según IBM, el malware ZeroCleare es una creación de APT33 (Hive0016 en el informe de IBM) y APT34 (ITG13 en el informe de IBM, también conocido como Oilrig).

Los nombres son bien conocidos en la industria de la seguridad cibernética. APT33 es el grupo que desarrolló el malware Shamoon first que se implementó por primera vez en 2012 y se utilizó para destruir datos en 35,000 estaciones de trabajo pertenecientes a Saudi Aramco, la compañía petrolera nacional de Arabia Saudita.

APT34 es, con diferencia, el grupo de piratería más activo de Irán en la actualidad. El grupo sufrió una brecha importante en la primavera de este año cuando una entidad desconocida filtró el código fuente de varias de sus herramientas en Telegram.

El malware ZeroCleare

En cuanto al malware en sí, ZeroCleare es su clásico «limpiador», una variedad de malware diseñado para eliminar la mayor cantidad de datos posible de un host infectado.

El malware de limpiador generalmente se united states of america en dos escenarios. Se united states of america para enmascarar intrusiones eliminando evidencia forense vital o se united states para dañar la capacidad de una víctima de llevar a cabo su actividad comercial ordinary, como fue el caso de ataques como Shamoon, NotPetya o Undesirable Rabbit.

Mientras investigaba los recientes ataques ZeroCleare, IBM dijo que identificó dos versiones del malware. Uno fue creado para sistemas de 32 bits y un segundo para sistemas de 64 bits. De los dos, IBM dijo que solo la versión de 64 bits realmente funcionaba.

Los investigadores dijeron que los ataques generalmente comenzaban con los hackers ejecutando ataques de fuerza bruta para obtener acceso a cuentas de purple de la compañía débilmente aseguradas.

Una vez que obtuvieron acceso a la cuenta del servidor de una empresa, explotaron una vulnerabilidad de SharePoint para instalar shells world wide web como China Chopper y Tunna.

Una vez que los atacantes se establecieron dentro de una empresa, se extendieron lateralmente dentro de la pink a la mayor cantidad de computadoras posible, donde desplegaron ZeroCleare como el último paso de su infección.

«Para obtener acceso al núcleo del dispositivo, ZeroCleare utilizó un controlador intencionalmente susceptible y scripts maliciosos de PowerShell / Batch para evitar los controles de Home windows», dijo IBM.

Una vez que ZeroCleare tuviera privilegios elevados en un host, cargaría EldoS RawDisk, un package de herramientas legítimo para interactuar con archivos, discos y particiones.

El malware luego abusó de esta herramienta legítima para «borrar el MBR y dañar las particiones del disco en una gran cantidad de dispositivos en pink», dijeron los investigadores.

zeroclear.png "src =" https://zdnet1.cbsistatic.com/hub/i/2019/12/04/beb3c2ff-a147-425d-b498-21a40e062e91/8c21c3cdc728961192c9a9f994f0001a/zeroclear.png

Los investigadores de IBM señalan que las versiones recientes del malware Shamoon utilizado tan recientemente como el año pasado, también abusaron del mismo package de herramientas Eldos RawDisk por su comportamiento «destructivo».

Otros artefactos e indicadores de compromiso detallados en el informe de IBM vinculaban ZeroCleare con APT33 y APT34.

Los ataques ocurrieron este otoño, fueron «atacados»

Si bien IBM no compartió ningún detalle sobre las víctimas de ZeroCleare, una evaluación diaria de amenazas de IBM enviado este otoño sugiere que IBM se enteró de este nuevo malware y ataques alrededor del 20 de septiembre.

IBM dijo que ninguno de los ataques ZeroCleare fue oportunista y parecía estar dirigido contra organizaciones muy específicas.

Los ataques anteriores de Shamoon se dirigieron a compañías del sector energético que estaban activas en la región de Medio Oriente, compañías que tenían sede en Arabia Saudita o eran socios conocidos de empresas de petróleo y gas con sede en Arabia Saudita.



Enlace a la noticia first