Malware Disttrack, il commento di Palo Alto Networks all’attacco Shamoon 3

Dicembre 17, 2018
Dicembre 17, 2018 Gter

Lunedì 10 dicembre, è stata rilevata una nuova variante del malware Disttrack, che condivide parti significative di codice del malware Disttrack utilizzato negli attacchi Shamoon 2 nel 2016 e 2017.

Non è ancora possibile valutare l’impatto sulle aziende, ma Saipem ha dichiarato pubblicamente di essere stata colpita. In occasione degli attacchi precedenti, Palo Alto Networks è stata in grado di determinare le aziende colpite in base al nome del dominio e delle credenziali utilizzate dal tool Disttrack per diffondersi su altri sistemi in rete, ma questo esemplare non è dotato di tale funzionalità.

La particolarità di questa variante è che si tratta di un wiper che non sovrascrive i file con un’immagine, ma sovrascrive MBR, partizioni e file sul sistema con dati generati in modo casuale.

In base a quanto dichiarato da Saipem, l’attacco cyber che li coinvolge comprende una variante del malware Shamoon e ha causato problemi all’infrastruttura e alla disponibilità dei dati, costringendo l’azienda a procedere con attività di ripristino.

Il campione a disposizione è un dropper di Disttrack, responsabile dell’installazione di un modulo di comunicazione e un di un modulo wiper nel sistema e della distribuzione ad altri sistemi presenti sulla rete locale, tramite il tentativo di accesso ad altri sistemi in rete in modalità remota, usando nome utente e password rubati in precedenza.

Sfortunatamente, questo particolare esemplare non contiene domini, username o password per distribuirsi, quindi si abilita solo sul sistema in cui è stato specificamente eseguito.

 

, , , , ,
Contact

Rimaniamo in contatto

Copyright 2019 Studio Gcomunicazione All rights reserved P.IVA:02000150769

Contact