Новая версия червя Shamoon атакует организации в Саудовской Аравии

[душман]

Специалисты «Лаборатории Касперского» зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (также известного как Disttrack), направленную на организации, работающие в критически важных и экономических секторах Саудовской Аравии.

Вредоносное ПО Shamoon относится к семейству вредоносных программ, которые эффективно удаляют данные с зараженных компьютеров. По аналогии с предыдущей версией главной задачей Shamoon 2.0 был массовый вывод из строя компьютерных систем целевых организаций.

Атаки, зафиксированные в ноябре 2016 года - январе 2017 года, имеют ряд сходных аспектов с атаками 2012 года, ответственность за которые взяла на себе кибергруппировка Cutting Sword of Justice. При этом они используют новые методы и инструменты. В частности, помимо обычного функционала, Shamoon 2.0 включает полноценный модуль программы-вымогателя и не имеет модуля коммуникации с управляющим сервером.

На первом этапе атаки злоумышленники получают учетные данные администратора сети жертвы. Затем эта информация используется для распространения вредоносного ПО во внутренней сети организации. В установленное преступниками время вредонос активизируется и выводит из строя инфицированные компьютеры. Финальные стадии атаки полностью автоматизированы и не требуют связи с C&C-сервером.

В ходе анализа вышеуказанных атак исследователи выявили еще одну вредоносную программу, получившую название StoneDrill. Вредонос сходен с Shamoon, но в отличие от последнего не использует для развертывания драйверы, а внедряет модуль программы-wiper в память браузера, наиболее часто используемого жертвой. Также специалисты отмечают возможную связь StoneDrill с вредоносным ПО NewsBeef, котрый продолжает атаковать организации в саудовской Аравии.

Как полагают эксперты, NewsBeef и StoneDrill предназначены для использования в долгосрочной перспективе, тогда как Shamoon является эффективным инструментом для кратковременного применения.