Nul
En ny variant af Shamoon malware blev fundet på netværket, italiensk olie og gas entreprenør Saipem, hvor det ødelagte filer på omkring ti procent af virksomhedens PC-flåde, ZDNet har lært.
Langt størstedelen af de berørte systemer var placeret i Mellemøsten, hvor Saipem gør et stort flertal af dets virksomhed, men infektioner blev også rapporteret i Indien, Italien og Skotland.
Også: BlackBerry administrerende DIREKTØR siger, automotive, sundhedspleje, olie og gas top selskabets liste af IOT-markeder
Shamoon er en af de mest farlige stammer af malware, der kendte til dato. Det blev først indsat i to separate hændelser, der er målrettet den infrastruktur, der af Saudi Aramco, Saudi-Arabiens største olieproducent i 2012 og 2016. I løbet af disse hændelser, malware udslettet filer og erstattet dem med propaganda billeder (afbrænding af AMERIKANSKE flag, et organ af Alan Kurdi). 2012-angreb var ødelæggende, især med Shamoon aftørring af data på flere end 30.000 computere, lammende selskabets aktivitet for uger.
Denne nye Shamoon angreb har også en Aramco-forbindelse. Saipem, en italiensk olie-og gas selskab specialiseret sig i at bore service og pipeline design, er en af Saudi Aramco ‘ s vigtigste udenlandske entreprenører.
Nye Shamoon version uploadet på VirusTotal
Denne seneste Shamoon hændelsen overtog den sidste weekend af December, 8 og 9. Virksomheden offentligt anerkendte hændelsen på mandag i en pressemeddelelse, at kalde det et cyber-angreb, men uden at give nogen brugbare oplysninger.
Samme dag, en aldrig-før-set-version af Shamoon malware blev uploadet på VirusTotal fra en IP-adresse i Italien, hvor Saipem ‘ s hovedkvarter ligger, og andre prøver, der blev uploadet den næste dag fra en IP-adresse i Indien, en anden region, der Saipem sagde også blev påvirket.
Efter gentagne anmodninger om kommentarer, både fra ZDNet og andre publikationer, Saipem, der er optaget i en mail, at de er blevet inficeret med en Shamoon variant.
Også: Baker Hughes GE, Nvidia samarbejde om AI for olie og gas industrien
Men i sidste Shamoon hændelser angribere slettet og erstattet filer, en kilde inde i virksomheden fortalte ZDNet, der denne gang angriberne har valgt at kryptere data.
En sikkerhedsekspert, der analyseret Shamoon filer, der uploades på VirusTotal fortalte ZDNet, at det er lidt forkert. Denne version af Shamoon overskriver oprindelige filer med skrald data. Dette skrald data, der kunne ligne krypteret indhold, at en utrænet øje, men det er bare tilfældige bits af information, der ikke kan inddrives med en krypterings nøgle.
Men på trods af denne nyhed, Shamoon infektion ikke ud til at gøre skade på Saipem ‘ s muligheder for at gøre forretning. Kun almindelige arbejdsstationer og bærbare computere forbundet til Saipem ‘ s business-netværk blev ramt, ZDNet blev fortalt, og virksomhedens interne systemer til kontrol af industrielt udstyr, der ikke var påvirket.
I øjeblikket, Saipem er ved at tage Shamoon angreb i stiv arm, der allerede har restaureret de fleste af sine berørte systemer ved hjælp af eksisterende sikkerhedskopier.
RDP-indgang?
Ældre versioner af Shamoon malware var også kendt for at komme hardcodede med en liste af SMB (Server Message Block) legitimationsoplysninger, at malware ville bruge til at sprede sig gennem et netværk på egen hånd.
Men i en telefonsamtale med ZDNet på tirsdag, Brandon Levene, Krøniken sikkerhedsekspert, der først opdagede den nye Shamoon malware på VirusTotal, sagde denne Shamoon version ikke kommer med den almindelige liste af SMB-legitimationsoplysninger, der bruges til at funktion i den forløbne for self-formering.
Dette kunne også forklare, hvorfor Sapiem ‘ s IT-medarbejdere er i øjeblikket ved at gennemgå RDP (Remote Desktop Protocol), som er den primære indgang for malware ind i sit netværk.
“Du kan bare lægge Mimikatz på, og væk du går til pivot på den måde,” fortalte Levene ZDNet i et telefon opkald, om den tekniske mulighed for at RDP er indgang til hack og fraværet af en SMB-legitimationsoplysninger, der normalt ses i fortiden.
“De kunne have kodet dem [SMB-legitimationsoplysninger] efter [efter at have indhentet dem med Mimikatz],” Levene sagde, “det ville helt sikkert give mening til, hvorfor [SMB] funktionalitet ikke var nødvendigt.”
“Derudover netværk komponent var der ikke. Der er ingen kommando og kontrol-server, der er konfigureret,” den forsker, der fortalte os. “Ældre versioner havde en kommando og kontrol-server, der er konfigureret, og de ville indberette, hvilke filer der blev poppet eller overskrevet.”
Manglen på disse to komponenter-SMB-spartel og netværk komponent– passer med scenariet af en manuel installation, hvor angriberen var til stede og roaming omkring virksomhedens netværk, snarere end den malware, der leveres via en phishing-e-mail, og tilbage til at sprede på egen hånd.
Denne teori bekræftes også af det faktum, at denne nye Shamoon version blev også udstyret med en udløser datoen for “7. December 2017, 23:51.” Den Shamoon “trigger date” er den dato, hvorefter Shamoon destruktive adfærd starter.
Skal læse
Ups, der er for meget olie i motoren. Hvad nu? (CNET)Machine learning er ved at forvandle disse industrier (TechRepublic)
“Udløse datoer” er ofte brugt til malware indsat for at sprede på egen hånd, for at sikre den malware har tid til at inficere så mange computere inde i et internt netværk.
Ved hjælp af en gammel udløse dato for denne variant, angribere sørget for Shamoon destruktive adfærd i gang, så snart de er udført, kan den Shamoon nyttelast.
Shamoon re-nye er en big deal for IT-sikkerhedsbranchen. Uden tvivl cyber-sikkerhed i virksomheder, der vil udgive flere rapporter om denne malware i de kommende dage. Vi vil opdatere denne artikel med links til eventuelle fremtidige Shamoon analyse, men også Saipem pressemeddelelser, hvis det er relevant.
Relaterede historier:
Skibe, der er inficeret med ransomware, USB-malware, wormsFor fjerde måned i træk, Microsoft lapper Windows nul-dag anvendes i wildSuper Micro siger eksterne sikkerhed revision fandt ingen beviser på, at bagdør chipsGoogle+ ramt af andet API fejl, der påvirker 52.5 millioner usersHP tilbyder hackere $10.000 til at finde fejl i sin printere TechRepublicFacebook lokker forskere med $40,000 belønning for konto overtagelse vulnerabilitiesThe rockstar hackere at beskytte dig fra det onde CNETWordPress stik fejl, der førte til, at Google indeksering nogle bruger adgangskoder
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0