Nul
Een nieuwe variant van de Shamoon malware werd ontdekt op het netwerk van de italiaanse olie-en gas aannemer Saipem, waar het vernietigd bestanden op ongeveer tien procent van de vennootschap PC vloot, ZDNet heeft geleerd.
De overgrote meerderheid van de betrokken systemen waren gelegen in het Midden-Oosten, werden Saipem heeft een overgrote meerderheid van de business, maar infecties werden ook gemeld in India, Italië en Schotland.
Shamoon is een van de meest gevaarlijke stammen van malware bekend. Het werd voor het eerst geïmplementeerd in twee afzonderlijke incidenten die gericht op de infrastructuur van Saudi Aramco, Saoedi-Arabië de grootste olieproducent, in 2012 en 2016. Tijdens deze incidenten, de malware bestanden gewist en vervangen door de propaganda van afbeeldingen (verbranden van de AMERIKAANSE vlag, het lichaam van Alan Kurdi). De 2012-aanval was verwoestend in het bijzonder, met Shamoon wissen van gegevens op meer dan 30.000 computers, kreupel of de activiteit van de vennootschap voor weken.
Deze nieuwe Shamoon aanval heeft ook een Aramco verbinding. Saipem, een italiaanse olie-en gas bedrijf gespecialiseerd in het boren van diensten en pipeline design, is een van Saudi Aramco de belangrijkste buitenlandse aannemers.
Nieuwe Shamoon versie geupload op GitHub
Dit laatste Shamoon incident vond het afgelopen weekend van December, 8 en 9. Het bedrijf openlijk erkend het incident op maandag in een persbericht noemde het een cyber-aanval, maar zonder het verstrekken van alle nuttige informatie.
Op dezelfde dag, een nooit eerder vertoonde versie van de Shamoon malware werd geupload op VirusTotal van een IP-adres in Italië, waar Saipem de belangrijkste hoofdkantoor is gevestigd, en andere monsters werden geupload, de volgende dag vanaf een IP-adres in India, een andere regio die Saipem ook gezegd werd beïnvloed.
Na herhaalde verzoeken om commentaar, zowel van ZDNet en andere publicaties, Saipem toegelaten in een e-mail dat ze zijn besmet met een Shamoon-variant.
Maar terwijl in het verleden de Shamoon incidenten aanvallers verwijderd en vervangen van bestanden, een bron binnen het bedrijf, vertelde ZDNet dat het deze keer, aanvallers kozen voor het coderen van gegevens.
Een security-onderzoeker die geanalyseerd Shamoon-bestanden geüpload op VirusTotal vertelde ZDNet dat dit is enigszins onjuist. Deze versie van Shamoon, overschrijft u de originele bestanden met afval gegevens. Dit afval gegevens eruit zou kunnen zien versleutelde inhoud van een ongetraind oog, maar het is gewoon willekeurige stukjes informatie die niet kan worden hersteld met een encryptie sleutel.
Maar ondanks dit nieuws, het Shamoon-infectie niet lijken te doen schade aan Saipem de mogelijkheid om zaken te doen. Alleen gewone werkstations en laptops aangesloten op Saipem business netwerk werden getroffen, deze laatste werd gezegd, en de interne systemen voor de controle van industriële apparatuur werden niet beïnvloed.
Momenteel Saipem is het nemen van de Shamoon aanval in stride, die al de meeste hersteld van de betrokken systemen met behulp van bestaande back-ups.
RDP-entry point?
De oudere versies van de Shamoon malware waren ook bekend om te komen hardcoded met een lijst van SMB (Server Message Block) referenties die de malware zou gebruiken om verspreid over een netwerk op zijn eigen.
Maar in een gesprek met ZDNet op dinsdag, Brandon Levene, de Kroniek security-onderzoeker die voor het eerst gespot de nieuwe Shamoon malware op VirusTotal, zei deze Shamoon-versie niet met de reguliere lijst van SMB referenties die het gebruikt om te voorzien in het verleden voor zichzelf voortplant.
Dit kan ook verklaren waarom Sapiem HET personeel is op dit moment bezig RDP (Remote Desktop Protocol) als de primaire aanspreekpunt voor de malware in haar netwerk.
“Je kon gewoon belasting Mimikatz op de doos en u bent de weg op te draaien op die manier,” Levene vertelde ZDNet in een gesprek over de technische mogelijkheid van het RDP wordt de toegangspoort voor de hack en de afwezigheid van een SMB-referenties meestal gezien in het verleden.
“Ze zou hebben gecodeerd hen [de SMB-referenties] daarna [na het behalen van hen met Mimikatz],” Levene zei: “dat zou zeker zinvol zijn om uit te leggen waarom [SMB] functionaliteit was niet nodig.”
“Bovendien, het netwerkonderdeel was er niet. Er is geen command and control server is geconfigureerd,” de onderzoeker vertelde ons op. “Oudere versies hadden een command and control-server die is geconfigureerd, en die zou rapporteren welke bestanden werden geknald of overschreven.”
Het ontbreken van deze twee componenten –SMB strooier en een netwerk component– past bij het scenario van een handmatige implementatie, waarbij de aanvaller was aanwezig en zwerven over het netwerk van de vennootschap, in plaats van de malware wordt geleverd via een phishing e-mail, en links te verspreiden op zijn eigen.
Deze theorie wordt ook bevestigd door het feit dat deze nieuwe Shamoon versie was ook geconfigureerd met een trekker datum van de “7 December 2017, 23:51.” De Shamoon “trigger-date” is de datum waarop Shamoon destructieve gedrag begint.
De “Trigger-data” worden vaak gebruikt voor malware ingezet te verspreiden op zijn eigen, om ervoor te zorgen dat de malware heeft tijd om te infecteren zo veel computers binnen een intern netwerk.
Door het gebruik van een oude trekker datum voor deze variant, aanvallers zorgde ervoor dat Shamoon destructieve gedrag begon zo snel als ze uitgevoerd op het Shamoon lading.
Shamoon re-emerging is een big deal voor de IT-security-industrie. Zonder twijfel cyber-security bedrijven publiceren meer rapporten over deze malware in de komende dagen. We zullen dit artikel updaten met links naar alle toekomstige Shamoon-analyse, maar ook Saipem persberichten, indien relevant.
Meer zekerheid:
Schepen geïnfecteerd met ransomware, USB-malware, wormsFor de vierde maand op rij, Microsoft-patches van Windows zero-day gebruikt in de wildSuper Micro zegt externe security audit vond geen bewijs van backdoor chipsGoogle+ getroffen door de tweede API bug invloed van 52,5 miljoen euro usersHP biedt hackers $10.000 tot het vinden van bugs in haar printers TechRepublicFacebook nodigt onderzoekers met 40.000 dollar beloning voor rekening overname vulnerabilitiesThe rockstar hackers beschermen u tegen de bad guys CNETWordPress stekkers bug die hebben geleid tot Google indexering sommige wachtwoorden van de gebruiker
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0