18.05.13

Cyber ataques avançados acontecem até uma vez a cada três minutos

Fonte: vu

As redes de computadores de três grandes bancos Sul-coreanos e três emissoras de televisão ficaram fora do ar quase que simultaneamente às 14 horas de quarta-feira, horário de Seoul. A Coreia do Sul está investigando a possibilidade do cyber ataque ter vindo da Coreia do Norte. Duas principais emissoras de televisão, KBS e MBC, tiveram seus computadores travados e o site da KBS saiu do ar. O canal de TV paga YTN reportou problemas similares. Os ataques às instituições financeiras Shinham Bank, Jeju e Nonghyup afetaram a internet e o mobile banking enquanto os caixas eletrônicos estavam fora do ar.

Esse ataque de malware na Coreia é diferente porque foi focado em enxugar e destruir os sistemas infectados ao invés de roubar dados. No passado, os criadores dos ataques recorriam ao DDoS para remover a infraestrutura de uma nação, assim como o ataque de 2007 na Estônia ou o ataque de 2012 nos bancos americanos por um grupo afirmando ser hacktivistas iranianos. O ataque à Coreia do Sul teve como objetivo corromper o MBR (master boot record) e então apagar todos os dados do disco, o que inutilizava o computador. Além disso, o malware era programado, ou seja, estava dormindo sendo programado para iniciar o ataque em 20 de março de 2013 às 14 horas".

Então o malware, que tinha capacidade de evasão, buscaria uma versão do Windows e iniciaria a ameaça, que é escrita diretamente no disco rígido, corrompendo assim o MBR. O malware também encontrava e desabilitava o antivírus AhnLabs - antivírus comum na Coreia. Isso indica que os ataques tinham como alvo específico a Coreia.

A FireEye fornece proteção contra esses ataques e os identifica como Trojan.Hastati. Os assinantes do Dynamic Threat Intelligence (DTI) na nuvem receberam atualizações para impedir esses ataques.

O malware, porém, não tinha CnC callbacks e é dedicado a destruir o host infectado. No Windows Vista, 7 e 8 ele enumera todos os arquivos no sistema e sobrescreve os arquivos usando a palavra-chave "Hastati". Ele então apaga esses arquivos tornando impossível a sua recuperação.



Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2017