Специалисты “Лаборатории Касперского” зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (также известного как Disttrack), направленную на организации, работающие в критически важных и экономических секторах Саудовской Аравии.
Вредоносное ПО Shamoon относится к семейству вредоносных программ, которые эффективно удаляют данные с зараженных компьютеров. По аналогии с предыдущей версией главной задачей Shamoon 2.0 был массовый вывод из строя компьютерных систем целевых организаций.
Атаки, зафиксированные в ноябре 2016 года – январе 2017 года, имеют ряд сходных аспектов с атаками 2012 года, ответственность за которые взяла на себе кибергруппировка Cutting Sword of Justice. При этом они используют новые методы и инструменты. В частности, помимо обычного функционала, Shamoon 2.0 включает полноценный модуль программы-вымогателя и не имеет модуля коммуникации с управляющим сервером.
На первом этапе атаки злоумышленники получают учетные данные администратора сети жертвы. Затем эта информация используется для распространения вредоносного ПО во внутренней сети организации. В установленное преступниками время вредонос активизируется и выводит из строя инфицированные компьютеры. Финальные стадии атаки полностью автоматизированы и не требуют связи с C&C-сервером.
В ходе анализа вышеуказанных атак исследователи выявили еще одну вредоносную программу, получившую название StoneDrill. Вредонос сходен с Shamoon, но в отличие от последнего не использует для развертывания драйверы, а внедряет модуль программы-wiper в память браузера, наиболее часто используемого жертвой. Также специалисты отмечают возможную связь StoneDrill с вредоносным ПО NewsBeef, котрый продолжает атаковать организации в саудовской Аравии. Как полагают эксперты, NewsBeef и StoneDrill предназначены для использования в долгосрочной перспективе, тогда как Shamoon является эффективным инструментом для кратковременного применения. (Касперский/NovostIT)