Global Preloader
Noticia Internacional
(17/Dec/2018) PÉRDIDA DE DATOS: MALWARE SHAMOON 3

PÉRDIDA DE DATOS: MALWARE SHAMOON 3

El día viernes por la tarde, la empresa italiana de gas, Saipem confirmó que algunos de sus servidores fueron víctima de un ciberataque, el cual impactó su sistema en el Medio Este de Europa incluyendo Arabia Saudita, Emitatos Árabe, India y Escocia.

Un malware destructivo denominado Shamoon causó la pérdida de millones de datos, impactó entre 300-400 servidores y 100 PCs. Saipem estuvo trabajando con sus respaldos y la restauración de todos los servidores; sin embargo la información no fue robada.

Por otro lado, reportes de Symantec y otras firmas de seguridad, mencionaron que Shamoon ha estado afectando a diversos sectores como el petróleo, energía, telecomunicaciones y organizaciones gubernamentales.  Asimismo, el malware presentó una nueva variante (Shamoon 3) que utiliza varios mecanismos como técnicas de evasión para evitar la seguridad, así como para eludir el análisis y lograr sus fines. Sin embargo, su comportamiento general sigue siendo el mismo que en las versiones anteriores, lo que hace que la detección sea directa para la mayoría de los motores de antimalware.

De igual manera, la versión 3 de Shamoon instala un servicio malicioso que ejecuta el componente del limpiaparabrisas. Una vez que el limpiador se está ejecutando, sobrescribe todos los archivos con basura aleatoria y desencadena un reinicio, lo que resulta en una pantalla azul de la muerte o un error del controlador y hace que el sistema deje de funcionar.

“La variante también puede enumerar la red local, pero en este caso no hace nada con esa información. Esta variante tiene algunos errores, lo que sugiere la posibilidad de que esta versión sea una fase beta o de prueba”, dijo McAfee.

Palo Alto Networks, publicó un análisis de esta nueva variante, el cual menciona que ll módulo de limpiaparabrisas está diseñado para sobrescribir el registro de arranque maestro (MBR), las particiones y los archivos con bytes aleatorios utilizando una herramienta legítima llamada RawDisk hecha por EIDos.

Por último, dicho reporte dice que  también puede configurar para cifrar el contenido de los archivos o sobrescribirlos con otro archivo.

 

Fuente secundaria:

https://www.securityweek.com/shamoon-3-targets-energy-sector-middle-east