Los actores de la amenaza que se cree que operan fuera de Irán están una vez más atacando a las organizaciones del sector industrial y de energía en el Medio Oriente con un destructivo malware de borrado de disco very similar a «Shamoon», que destruyó más de 35,000 sistemas Home windows en Saudi Aramco hace unos años. .
Los investigadores del equipo X-Power de IBM que han estado rastreando el nuevo malware han denominado el malware «ZeroCleare». En un informe de esta semana, el vendedor describió a ZeroCleare como comparable a Shamoon de alguna manera, pero lo suficientemente diferente de él en otras formas para ser considerado una amenaza completamente nueva.
«Nuestros ingenieros inversos realizaron un análisis comparativo de los dos ataques, que mostraron que no parecen estar relacionados a nivel de código», dice Limor Kessem, asesor ejecutivo de seguridad world de IBM.
Al igual que con Shamoon, el nuevo malware está diseñado para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco en los sistemas Home windows. También, como su predecesor, ZeroCleare usa EldoS RawDisk, un kit de herramientas legítimo, para llevar a cabo su misión. INGLETE explain EldoS como controlador para interactuar con archivos, discos y particiones. Permite a los usuarios eludir las características de seguridad del sistema operativo Windows y modificar directamente los datos en una computadora, lo que lo hace atractivo para los atacantes.
La evidencia disponible sugiere que ITG13, un grupo de amenazas también conocido como APT34 / OilRig, y al menos otro grupo con sede en Irán está detrás de los ataques. La misión de ITG13 parece ser permitir el acceso inicial a los sistemas específicos. Uno o más grupos con base en Irán han estado implementando el ZeroCleare en ellos. Los ataques parecen estar dirigidos y diseñados específicamente para interrumpir las operaciones en organizaciones de infraestructura crítica en múltiples países de Medio Oriente.
Kessem dice que hay una variedad de razones por las cuales los estados nacionales podrían querer enfocarse en la infraestructura de recursos naturales de otro país. «Las repercusiones de los ataques a la industria petrolera abarcan específicamente cuestiones relacionadas con el dinero, el comercio, el transporte y la tensión geopolítica que podrían acumularse en una región», dice.
Kessem estima que los ataques ZeroCleare han impactado miles de dispositivos en el sector de petróleo y fuel en el Medio Oriente. «No sabemos el número exacto de organizaciones que se vieron afectadas», dice Kessem. «Sin embargo, sabemos que al menos 1,400 hosts se vieron afectados por ZeroCleare».
Se cree que Shamoon, que apareció por primera vez en 2012, ha infectado muchos más sistemas. La última vez que los investigadores de seguridad observaron el malware utilizado fue en diciembre de 2018, cuando de repente volvió a surgir después de un paréntesis de dos años. Symantec y otros que rastrearon los ataques los describieron como atacados una vez más en organizaciones de Medio Oriente. Los ataques involucraron un nuevo limpiador que eliminó los archivos de los sistemas infectados antes de que Shamoon borrara el registro maestro de arranque.
Una amenaza multifacética
Según IBM, la nueva amenaza ZeroCleare está diseñada para funcionar tanto en sistemas Home windows de 32 bits como de 64 bits, pero la forma en que se implementa en cada uno es diferente.
Debido a que los sistemas Home windows de 64 bits solo permiten que los controladores firmados por Microsoft se ejecuten en el dispositivo, el controlador EldoS RawDisk, que no está firmado, no puede ejecutarse en ellos de manera predeterminada. Para superar este obstáculo, ZeroCleare primero carga un controlador firmado pero vulnerable en el sistema de destino y luego explota la vulnerabilidad para cargar el controlador EldoS sin firmar, IBM dijo. Una vez instalado, el controlador RawDisk procede a limpiar el registro de arranque maestro.
Los ataques destructivos como ZeroCleare están creciendo, dice Kessem. La cantidad de casos a los que IBM ha respondido, en los que estaba involucrado el borrado de disco y otro malware destructivo, ha aumentado un 200% en los últimos seis meses, dice ella.
«Estos ataques se pueden lanzar para cumplir todo, desde ganancias financieras hasta objetivos militares», señala Kessem. «Los efectos pueden ser paralizantes, especialmente cuando los atacantes atacan sectores específicos de los que los países dependen mucho».
La mayoría de los ataques de malware destructivos hasta ahora se han centrado en organizaciones en el Medio Oriente. Las motivaciones han variado desde lo financiero, presionando a las víctimas a pagar amenazando con limpiar sus sistemas, hasta lo geopolítico. Algunas campañas de estados nacionales, por ejemplo, han tenido objetivos militares, como negar el acceso a sistemas críticos, degradar o interrumpir las capacidades operativas y destruir dispositivos y datos, dijo IBM.
Significativamente, estas campañas representan una amenaza para las organizaciones en cualquier país. «Las organizaciones estadounidenses deben ser cognitivas con respecto a su preparación para la seguridad», dice Kessem. Esto significa probar los planes de respuesta a incidentes, reevaluar los controles de gestión de acceso y garantizar que existan procesos adecuados de respaldo y recuperación de datos.
En muchos de estos ataques, los actores de amenazas han explotado las credenciales de acceso débilmente protegidas y las cuentas privilegiadas para obtener un punto de apoyo inicial en una purple objetivo y luego expandir su acceso a ella. Por lo tanto, los controles como la autenticación multifactorial, las contraseñas seguras y el acceso menos privilegiado son críticos, dijo IBM.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más suggestions
