IBM detecta nuevo malware iraní de limpieza de datos ‘ZeroCleare’ – Ecoticias

Un nuevo malware capaz de borrar todos los datos confidenciales de los secretos de una nación está atacando a pocas empresas de energía en Oriente Medio. El equipo de investigación de IBM llamó a este malware ZeroCleare, donde estudió y detalló su red en un Informe de 28 páginas en tu sitio web.

En la búsqueda por dominarse unos a otros, los países con armas pesadas y tecnología siempre ganarán. Y uno de esos está aquí; ataques de malware a los recursos de los demás. X-Force por investigadores de seguridad de IBM ha detectado nuevo malware propagado por atacantes en Irán para borrar datos de los sistemas. Se explica claramente a continuación.

Malware de limpieza de datos ZeroCleare
Imagen a través de DeskDecode

Al igual que otros limpiadores anteriores, IBM dijo que se implementaría para borrar información confidencial de los sistemas. El propósito de dicho malware es prevenir las operaciones comerciales de las víctimas para enmascarar las intrusiones causadas. IBM no especificó cuáles de estas compañías eléctricas infectadas son. Además, reveló que hay dos versiones de este malware creado; uno para sistemas de 32 bits y otro para sistemas de 64 bits. Solo este último se consideró operativo en la actualidad.

Flujo de trabajo

Este malware, en primer lugar, intenta un ataque de fuerza bruta en sistemas vulnerables y, si tiene éxito, debe aprovechar la vulnerabilidad de SharePoint para instalar shells web. Una vez insertados, deben extenderse por la red explotando los controladores vulnerables e instalando scripts de PowerShell / Batch que pueden omitir los controles de Windows.

Después de la instalación, llevaría un juego de herramientas legítimo como EldoS RawDisk para interactuar con archivos, discos y particiones. Este acceso se usa más tarde para limpiar el MBR y dañar las particiones del disco en una gran cantidad de dispositivos en red.

Grupos apoyados por el estado

IBM detalló en su informe cómo dos grupos de piratas informáticos estatales iraníes llevan a cabo este despliegue de malware; xHunt y APT34. Dicho, «Según el análisis del malware y el comportamiento de los atacantes, sospechamos que los oponentes del estado-nación con sede en Irán estuvieron involucrados para desarrollar e implementar este nuevo limpiador». como en sus informes. Confirma que es una idea de xHunt y APT34.

Similar a Shamoon

Se dice que este nuevo malware se parece mucho a Shamoon, que es un malware que ha logrado eliminar datos en el pasado. El modus operandi y los objetivos de ZeroCleare son los mismos que los de Shamoon, ya que también había atacado a empresas de energía con sede en Arabia Saudita en el pasado. Mientras que Shamoon fue realizado por el grupo APT33 apoyado por el Estado de Irán, este fue realizado por otros nuevos. IBM informó inicialmente que algunos (quizás más) miembros del equipo APT33 podrían estar involucrados en este nuevo caso, pero luego aclaró sobre el nuevo equipo como xHunt y APT34.