Un nou malware ce șterge partiții poate distruge și sistemele virtuale

Un nou malware ce șterge partiții poate distruge și sistemele virtuale

Un malware ce a făcut probleme și în trecut revine în centrul atenției, după ce o nouă versiune a acestuia reușește să provoace și mai multe pagube.

Malware-ul Shamoon a apărut, pentru prima dată, în 2012; atunci a atacat calculatoarele companiei petroliere de stat din Arabia Saudită, iar acum se întoarce, având posibilitatea de a distruge și mașini virtuale.

Noua variantă a virusului este a doua variantă de Shamoon ce apare din noiembrie și până acum, când întoarcerea acestuia a fost semnalată prima oară. Originalul a atacat și a distrus permanent datele de pe mai bine de 30.000 de calculatoare deținute de Saudi Aramco; noul update țintește tot către Arabia Saudită, fără însă să fie dezvăluite companiile atacate de noua variantă de malware.

Conform cercetătorilor de la Palo Alto Networks, cea mai nouă variantă de malware a primit un update prin care sunt introduse date de logare reale în sistemele virtuale, folosite după evenimentele din 2012 ca măsură de protecție sporită împotriva virușilor ce șterg partiții.

O serie de nume de utilizatori și parole pentru conturi de administrator sunt incluse în documentația oficială de la produsele de virtualizare Huawei, cum ar fi FusionCloud. Cercetătorii nu sunt încă siguri dacă Shamoon a obținut astfel de date dintr-un atac precedent, sau dacă a folosit datele standard, încercând mai multe variante de logare până la găsirea celei corecte, arată arstechnica.com.

Cei de la Palo Alto Networks au descoperit că malware-ul nou avea și date de logare pentru conturi de Windows adăugate în sistem, acestea fiind specifice noii companii atacate de către virus. Acestea au fost obținute, cel mai probabil, în urma unui atac anterior. La fel ca varianta anterioară de Shamoon, cea actuală s-a extins printr-o rețea locală, folosind date de logare corecte, copiindu-se în sistem și apoi rulând la o dată și oră stabilite.

Noul atac a debutat pe 29 noiembrie 2016, la ora 1:30. Timpul a fost ales în concordanță cu atacurile din 2012, deoarece s-a mizat pe ideea că sunt mai puțini angajați prezenți la locul de muncă la o astfel de oră.

Citește și: