Noll
En ny variant av Shamoon skadlig kod har hittats på nätverket av italiensk olja och gas entreprenören Saipem, där det förstörde filer på ca tio procent av företagets PC-flotta, ZDNet har lärt sig.
Den stora majoriteten av de drabbade systemen fanns i Mellanöstern, där Saipem har en stor majoritet av sin verksamhet, men infektioner rapporterades också i Indien, Italien och Skottland.
Också: BlackBerry VD säger fordons -, hälso -, olja och gas upp företagets lista över sakernas internet marknader
Shamoon är en av de mest farliga stammar av skadlig kod som hittills är kända. Det var första placeras ut i två separata incidenter som riktade infrastrukturen i Saudi Aramco i Saudiarabien största oljeproducent, 2012 och 2016. Under dessa händelser, malware torkas filer och ersatt dem med propaganda bilder (brännande AMERIKANSKA flaggan, kroppen av Alan Kurdi). 2012 attack var förödande, i synnerhet med Shamoon torka data på över 30 000 datorer, förlamande på företagets verksamhet i flera veckor.
Denna nya Shamoon attack har också en Aramco-anslutning. Saipem, en italiensk olja och gas företag specialiserade på borrning tjänster och pipeline design, är en av Saudi Aramco: s största utländska entreprenörer.
Nya Shamoon version laddas upp på GitHub
Denna senaste Shamoon händelsen ägde under den gångna helgen i December 8 och 9. Företaget offentligt erkänt händelsen på måndagen i ett pressmeddelande, att kalla det för en it-attack, men utan att ge någon användbar information.
På samma dag, en aldrig-före-sett version av Shamoon malware laddades upp på VirusTotal från en IP-adress som ligger i Italien, där Saipem: s huvudkontor är beläget, och andra prover sändes in nästa dag från en IP-adress i Indien, är en annan region som Saipem sade också var drabbade.
Efter upprepade förfrågningar för kommentarer, både från ZDNet och andra publikationer, Saipem som är upptagna i ett e-postmeddelande om att de har blivit smittade med en Shamoon variant.
Även Baker Hughes GE, Nvidia samarbeta på AI för olje-och gasindustrin
Men även i tidigare Shamoon incidenter angripare bort och ersättas filer, en källa inom företaget berättade ZDNet att den här gången, angripare väljer att kryptera data.
En säkerhet forskare som analyserat Shamoon filer uppladdade på VirusTotal berättade ZDNet att detta är något felaktigt. Denna version av Shamoon ersätter original filer med data sopor. Detta skräp data kan se ut krypterat innehåll för ett otränat öga, men det är bara slumpmässiga bitar av information som inte kan återvinnas med en krypteringsnyckel.
Men trots denna nyhet, Shamoon infektion inte såg ut att göra skada på Saipem förmåga att göra affärer. Bara vanliga arbetsstationer och bärbara datorer som är anslutna till Saipem s business network drabbades, ZDNet var, och företagets interna system för styrning av industriell utrustning inte påverkades.
För närvarande, Saipem tar Shamoon attack i steg, efter att redan ha återställt de flesta av sina system som påverkas med hjälp av befintliga säkerhetskopior.
RDP-entry point?
Äldre versioner av Shamoon malware var också känd för att komma hårdkodad med en lista av SMB (Server Message Block) referenser som malware skulle använda för att sprida sig genom ett nätverk på egen hand.
Men i ett samtal med ZDNet på tisdag, Brandon Levene, Krönika säkerhet forskare som först såg den nya Shamoon skadlig kod på VirusTotal, sade att detta Shamoon version kom inte med den vanliga listan av SMB referenser som den som används för att funktionen i det förflutna för egen förökning.
Detta kan också förklara varför Sapiem IT-personal är närvarande på att se över RDP (Remote Desktop Protocol) som utgångspunkten för skadlig kod i sitt nätverk.
“Du kan bara ladda Mimikatz på rutan och bort du gå till pivot på det sättet,” Levene berättade ZDNet i ett samtal om den tekniska möjligheten av RDP fungerar som inkörsport för att hacka och avsaknad av SMB referenser normalt sett tidigare.
“De kunde ha kodat dem [SMB-referenser] därefter [efter att ha erhållit dem med Mimikatz],” Levene sade, “det skulle verkligen vettigt till varför [SMB] funktionalitet var inte nödvändigt.”
“Dessutom, nätverkskomponent var inte där. Det finns inget kommando och kontroll server konfigurerad,” forskaren berättade för oss. “Äldre versioner hade en command and control-server konfigurerad, och att de skulle rapportera vilka filer som har poppat eller skrivas över.”
Avsaknaden av dessa två komponenter-SMB spridare och nätverk komponent-passar med scenariot av en manuell distribution, där angriparen var närvarande och roaming runt företagets nätverk, snarare än skadlig kod som levereras via en phishing e-post, och vänster för att sprida på egen hand.
Denna teori bekräftas också av det faktum att detta nya Shamoon version var också konfigureras med en trigger datum för “den 7 December 2017, 23:51.” Den Shamoon “trigger datum” är det datum efter vilket Shamoon är destruktiva beteende börjar.
Måste läsa
Oops, har för mycket olja i motorn. Vad händer nu? (CNET)maskininlärning handlar om att omvandla dessa branscher (TechRepublic)
“Trigger datum” används ofta för skadlig kod användas för att sprida på sina egna, i syfte att se till att skadlig kod har tid att infektera så många datorer i ett internt nätverk.
Genom att använda en gammal utlöser datum för denna variant, anfallare gjort att Shamoon är destruktiva beteende igång så snart som de utförde Shamoon nyttolast.
Shamoon re-emerging är en stor grej för IT-säkerhetsbranschen. Utan tvekan cyber-bevakningsföretag kommer att publicera flera rapporter om detta malware under de kommande dagarna. Vi kommer att uppdatera den här artikeln med länkar till eventuella framtida Shamoon analys, men också Saipem pressmeddelanden, om det är relevant.
Relaterade artiklar:
Fartyg infekterade med ransomware, USB-malware, wormsFor den fjärde månaden i rad, Microsoft patchar för Windows zero-day som används i wildSuper Micro, säger yttre säkerhet revision funnit några bevis för bakdörr chipsGoogle+ träff med andra API bugg som påverkar 52,5 mkr usersHP erbjuder hackare och få $10,000 att hitta fel i sina skrivare TechRepublicFacebook lockar forskare med 40 000 dollar i belöning för konto övertagande vulnerabilitiesThe rockstar hackare att skydda dig från det onda CNETWordPress-pluggar bugg som ledde till att Google att indexera vissa användare lösenord
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0