Investigadores de ciberseguridad han descubierto un nuevo malware destructivo de borrado de datos previamente no descubierto que está siendo utilizado por hackers patrocinados por el estado en la naturaleza para apuntar a organizaciones energéticas e industriales en el Medio Oriente.
Apodado ZeroCleare , el malware del limpiador de datos se ha vinculado a no solo a dos grupos de piratería patrocinados por el estado iraní: APT34 , también conocido como ITG13 y Oilrig, y Hive0081 , también conocido como xHunt.
Un equipo de investigadores de IBM que descubrió el malware ZeroCleare dice que el nuevo malware limpiador comparte algunas similitudes de alto nivel con el infame Shamoon, una de las familias de malware más destructivas conocidas por dañar 30,000 computadoras en el mayor productor de petróleo de Arabia Saudita en 2012.
Solo como elEl malware de limpiador Shamoon , ZeroCleare también utiliza un controlador de disco duro legítimo llamado ‘RawDisk by ElDos’ para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco de las computadoras específicas que ejecutan el sistema operativo Windows.
Aunque el controlador EldoS no está firmado, el malware aún logra ejecutarlo cargando un controlador VirtualBox de Oracle vulnerable pero firmado, explotándolo para omitir el mecanismo de verificación de firma y cargar el controlador EldoS sin firmar.
«Para obtener acceso al núcleo del dispositivo, ZeroCleare utilizó un controlador intencionalmente vulnerable [pero firmado VBoxDrv] y scripts maliciosos PowerShell / Batch para evitar los controles de Windows», dijeron los investigadores .
Para implementar el malware Zerocleare en la mayor cantidad de computadoras posible en una organización, los atacantes intentan por primera vez forzar contraseñas de cuentas de red y luego instalar shells web ASPX, como China Chopper y Tunna, explotando una vulnerabilidad de SharePoint.
«Al agregar estas tácticas de vivir de la tierra al esquema, ZeroCleare se extendió a numerosos dispositivos en la red afectada, sembrando las semillas de un ataque destructivo que podría afectar a miles de dispositivos y causar interrupciones que podrían tomar meses para recuperarse completamente. «, dijeron los investigadores.
Los mismos actores de amenazas también intentaron instalar un software de acceso remoto legítimo llamado TeamViewer y utilizaron una versión ofuscada de la herramienta de robo de credenciales Mimikatz para robar más credenciales de red de los servidores comprometidos.
Aunque los investigadores no han revelado los nombres de ninguna organización objetivo, confirmaron que hay dos versiones de Zerocleare que se han visto en la naturaleza, una para cada arquitectura de Windows (32 bits y 64 bits), pero solo las 64- El bit funciona.
Según los investigadores, los ataques ZeroCleare no son oportunistas y parecen ser operaciones dirigidas contra sectores y organizaciones específicos.
«X-Force IRIS ha estado siguiendo un marcado aumento en los ataques destructivos en el último año, después de haber registrado un increíble aumento del 200 por ciento en la cantidad de ataques destructivos en los últimos seis meses», dijeron los investigadores.
«En cuanto a la región geográfica afectada por el malware ZeroCleare, no es la primera vez que Oriente Medio ha visto ataques destructivos dirigidos a su sector energético».
Fuente: https://thehackernews.com/2019/12/zerocleare-data-wiper-malware.html
