Luego del ataque utilizando el virus Shamoon, en Arabia Saudita en Noviembre de 2012, Hay otro nuevo ataque en el Medio Oriente que involucra el destructivo malware de limpieza de discos usado por el grupo Shamoon.
La empresa de seguridad Symantec, que investiga los ataques, informó que el ataque utiliza el malware Disttrack como la carga destructiva. Si bien el malware puede eliminar los sistemas, necesitaba otros medios para infiltrarse en las redes de las organizaciones.
Disttrack, usado por el Shamoon original, es un malware de limpieza de disco que se hizo extensamente conocido en 2012, cuando dañó 35.000 computadoras que pertenecían a la compañía de petróleo y gas natural Saudi Aramco. El ataque también afectó a otras empresas de infraestructuras críticas en Arabia Saudita, como RasGas, uno de los mayores productores mundiales de gas licuado de petróleo, y la primera compañía petroquímica de Arabia Saudita, Saudi Arabian Fertilizer Company (SAFCO).
En el nuevo ataque, Shamoon 2, la versión más reciente, tuvo como objetivo organizaciones en Arabia Saudita, incluida la Autoridad General de Aviación Civil del país (GACA por sus siglas en inglés).
La primera ola de ataques de Shamoon 2 se lanzó el 17 de noviembre, con una segunda ola lanzada el 29 de noviembre. Los ataques, que algunos han atribuido a Irán, se basaron en el malware Disttrack para iniciar automáticamente el borrado de los sistemas infectados en un momento especificado
El malware fue plantado en los sistemas objetivos usando credenciales robadas, y en Symantec creen que la información puede haber sido obtenida en un ataque previo lanzado por un actor de amenaza llamado Greenbug. Symantec descubrió por primera vez el grupo de ciber-espionaje Greenbug, durante su investigación sobre el ataque de Shamoon original.
Este grupo de espionaje cibernético ha utilizado un Troyano de acceso remoto (RAT) llamado Ismdoor, junto con otras herramientas en ataques dirigidos a organizaciones en el Medio Oriente. Los atacantes tuvieron como objet26ivo la aviación, la inversión, el gobierno y las organizaciones de educación en varios países, incluyendo Arabia Saudita, Irán, Iraq, Bahrein, Qatar, Kuwait y Turquía, y una empresa de Arabia Saudita en Australia.
Aunque no hay evidencia concreta que demuestre el vínculo entre Greenbug y Shamoon, Symantec determinó que Greenbug pudo haberle proporcionado las credenciales a Shamoon para los ataques, después de detectar una infección de Ismdoor en una computadora de administrador de una de las organizaciones atacadas por Disttrack.
Fuente: Para consultar la fuente de la información siga AQUI
Get Involved & Participate!
Comments