Zero
Una nuova variante del Shamoon malware è stato scoperto per la rete italiana di petrolio e di gas appaltatore Saipem, dove ha distrutto i file di circa il dieci per cento della società PC flotta, ZDNet ha imparato.
La stragrande maggioranza dei sistemi interessati sono situati in Medio Oriente, dove Saipem fa la stragrande maggioranza dei suoi affari, ma le infezioni sono stati segnalati anche in India, Italia e Scozia.
Anche: BlackBerry CEO dice automotive, sanità, olio e a gas delle migliori aziende elenco di IOT mercati
Shamoon è uno dei più pericolosi ceppi di malware conosciuti fino ad oggi. Prima era distribuito in due diversi incidenti che hanno colpito l’infrastruttura di Saudi Aramco in Arabia Saudita, il più grande produttore di petrolio, nel 2012 e il 2016. Durante quegli episodi, il malware cancellato i file e li ha sostituiti con la propaganda immagini (masterizzazione bandiera degli stati UNITI, il corpo di Alan Partecipanti). Il 2012 attacco è stato devastante, in particolare, con Shamoon cancellare i dati su oltre 30.000 computer, paralizzando l’attività della società per settimane.
Questo nuovo Shamoon attacco ha un Aramco connessione. Saipem, un italiano di petrolio e gas società specializzata in servizi di perforazione e pipeline di design, è uno della Saudi Aramco principale di imprenditori stranieri.
Nuovo Shamoon versione caricata su VirusTotal
Questa ultima Shamoon incidente ha avuto negli ultimi fine settimana di dicembre, 8 e 9. L’azienda ha riconosciuto pubblicamente l’accaduto lunedì in un comunicato stampa, chiamando un cyber-attacco, ma senza fornire alcuna informazione utile.
Lo stesso giorno, mai visto prima versione del Shamoon malware è stato caricato su VirusTotal da un indirizzo IP in Italia, dove Saipem sede centrale, e di altri campioni sono stati caricati il giorno successivo da un indirizzo IP in India, un’altra regione che Saipem anche detto che è stato colpito.
In seguito a ripetute richieste di commento, sia da ZDNet e altre pubblicazioni, Saipem ha ammesso in un’e-mail che sono stati infettati con un Shamoon variante.
Anche: Baker Hughes GE, Nvidia collaborare AI per industria petrolifera e del gas
Ma mentre in passato Shamoon incidenti attaccanti eliminato e sostituito i file, una fonte all’interno della società, ha detto ZDNet che questa volta, gli aggressori hanno scelto per crittografare i dati.
Un ricercatore di sicurezza che ha analizzato il Shamoon i file caricati su VirusTotal detto a ZDNet che questo è un po ‘ errato. Questa versione di Shamoon sovrascrive i file originali con dei dati spazzatura. Questa immondizia dati potrebbe apparire come il contenuto crittografato a un occhio inesperto, ma è solo casuale di bit di informazioni che non possono essere recuperati con una chiave di crittografia.
Ma nonostante questa notizia, il Shamoon infezione non sembra di fare danni Saipem la possibilità di fare affari. Solo normali workstation e laptop collegato a Saipem business network sono stati colpiti, ZDNet è stato detto, e la società di sistemi interni per il controllo di apparecchiature industriali non sono interessate.
Attualmente, Saipem sta prendendo il Shamoon attacco in stride, avendo già restaurato la maggior parte dei suoi sistemi interessati utilizzando i backup esistenti.
RDP punto di ingresso?
Le vecchie versioni di Shamoon malware sono stati anche noto per venire codificato con un elenco di SMB (Server Message Block) le credenziali che il malware utilizza per diffondersi in tutta la rete.
Ma in una telefonata con ZDNet martedì, Brandon Levene, la Cronaca ricercatore di sicurezza che ha avvistato il nuovo Shamoon malware su VirusTotal, detto questo Shamoon versione non è venuto con il normale elenco dei SMB credenziali che ha usato in passato per auto-propagazione.
Questo potrebbe anche spiegare perché Saipem personale è attualmente esaminato il protocollo RDP (Remote Desktop Protocol) come il principale punto di ingresso per il malware all’interno del suo network.
“Si può solo caricare Mimikatz sulla scatola e si va al perno in che modo,” Levene detto a ZDNet in una telefonata circa la possibilità tecnica di RDP essere il punto di ingresso per l’hack e l’assenza di qualsiasi SMB credenziali di solito visto in passato.
“Avrebbero potuto codificato loro [SMB credenziali] dopo [dopo aver ottenuto con Mimikatz],” Levene ha detto, “che avrebbe certamente senso perché il [SMB] funzionalità non era necessario.”
“Inoltre, il componente di rete non c’era. Non c’è nessun server di comando e controllo configurato,” il ricercatore ci ha detto. “Le vecchie versioni avevano un server di comando e controllo configurato, e chi avrebbe riferito che i file sono stati spuntato o sovrascritti.”
La mancanza di queste due componenti-SMB spalmatore e componente di rete– si adatta con lo scenario di una distribuzione manuale, dove l’attaccante era presente e che si aggirano per la rete della società, piuttosto che il malware essere consegnato via e-mail di phishing, e a sinistra per diffondere sul proprio.
Questa teoria è confermata anche dal fatto che questo nuovo Shamoon, è anche la versione configurato con un trigger data del 7 dicembre 2017, 23:51.” Il Shamoon “trigger data” è la data dopo la quale Shamoon distruttivo comportamento inizia.
Deve leggere
Oops, troppo olio nel motore. Ora che cosa? (CNET)Macchina di apprendimento è di trasformare queste industrie (TechRepublic)
“Trigger” date sono spesso utilizzati per malware distribuito a diffondere in proprio, al fine di assicurarsi che il malware ha tempo per infettare quanti più computer all’interno di una rete interna.
Utilizzando un vecchio trigger data per questa variante, gli attaccanti hanno fatto in modo Shamoon del comportamento distruttivo iniziato non appena eseguito il Shamoon payload.
Shamoon ri-emergenti, è un grande affare per il settore della sicurezza IT. Senza dubbio cyber-security per le aziende pubblicare ulteriori notizie su questo malware nei prossimi giorni. Provvederemo ad aggiornare questo articolo con i link a tutti i futuri Shamoon analisi, ma anche Saipem comunicati stampa, se pertinenti.
Storie correlate:
Navi infettati con ransomware, USB malware, wormsFor il quarto mese consecutivo, le patch Microsoft Windows zero-day usata in wildSuper Micro dice di sicurezza esterna di revisione non ha trovato prove di backdoor chipsGoogle+ colpito da seconda API bug impatto di 52,5 milioni di usersHP offre agli hacker di $10.000 per trovare bug nei suoi stampanti TechRepublicFacebook attira ricercatori con 40.000 dollari di ricompensa per conto di acquisizione vulnerabilitiesThe rockstar hacker che protegge dai cattivi CNETWordPress spine bug che ha portato all’indicizzazione su Google qualche utente password
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0