Shamoon, un vector ligado a Irán

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

El ataque cibernético contra la compañía Saudi Aramco, que es el mayor cliente de Saipem, se atribuyó a Irán, pero no está claro quién está detrás de los últimos ataques cibernéticos contra Saipem.

Mientras tanto, Chronicle, la filial de seguridad cibernética de Google, también descubrió un archivo que contenía una muestra de Shamoon que se cargó en el servicio de análisis de archivos VirusTotal el 10 de diciembre (el mismo día en que Saipem fue atacado) desde una dirección IP en Italia, donde Saipem tiene su sede central.

Sin embargo, el Chronicle no estaba seguro de quién creó las muestras Shamoon recién descubiertas o quién las cargó en el sitio de análisis de virus.

Se informó que el último ataque contra Saipem paralizó más de 300 de sus servidores y aproximadamente 100 computadoras personales de un total de aproximadamente 4,000 máquinas, aunque la compañía confirmó que ya había respaldado las computadoras afectadas, por lo que no hay posibilidad de que se pierdan datos en El ciberataque.

«Saipem informa que el ataque cibernético afectó a los servidores de Oriente Medio, India, Aberdeen y, de forma limitada, a Italia a través de una variante del malware Shamoon», aseguró Saipem en un comunicado distribuido con la prensa.

«Las actividades de restauración, de manera gradual y controlada, están en marcha a través de las infraestructuras de respaldo y, una vez finalizadas, restablecerán el funcionamiento completo de los sitios afectados». Shamoon, también conocido como Disttrack, funciona al deshabilitar los sistemas al sobrescribir los archivos clave de la computadora, incluido el registro de arranque maestro (MBR), lo que hace imposible que las computadoras se inicien.

El malware también puede propagarse rápidamente a través de redes infectadas usando el protocolo de Bloqueo de mensajes de Windows Server (SMB), similar a otro malware destructivo conocido como WannaCry y NotPetya.

Shamoon apareció por primera vez en 2012, y luego, tras un largo período de silencio, se usó una versión evolucionada del malware en ataques contra varias organizaciones sauditas en 2016 y 2017, dirigidas a múltiples industrias, incluidos los sectores de servicios públicos y financieros.

Aún no está claro quién creó realmente Shamoon, pero los investigadores de seguridad creen ampliamente que los grupos de piratería iraníes OilRig, Rocket Kitten y Greenbug que trabajan en nombre del gobierno iraní estuvieron detrás de los anteriores ataques de Shamoon, aunque Irán lo ha negado enérgicamente.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris