Malware Shamoon V3 ataca a sector energía en Medio Oriente y Europa

17 Diciembre 2018
Crítico

Investigadores de Anomali Labs identificaron una nueva versión del destructivo malware Shamoon, que históricamente ha estado vinculado a Amenazas Persistentes Avanzadas (APT) a organizaciones del estado iraní. Esta vez, Shamoon V3 se dirigió a la petrolera italiana Saipem, con operaciones en Medio Oriente y Asia, destruyendo el 10% de sus servidores.

Por otra parte, la filial de ciberseguridad de Google, Chronicle, descubrió un archivo que contenía una muestra del malware, que se cargó en el servicio de análisis de archivos VirusTotal el 10 de diciembre (el mismo día en que Saipem fue atacado), desde una dirección IP en Italia, sede central de la petrolera.

Shamoon, también conocido como Disttrack, funciona deshabilitando los sistemas al sobrescribir los archivos clave del computador, incluido el registro de arranque maestro (MBR), lo que imposibilita que los equipos se inicien.

El malware se propaga rápidamente a través de redes infectadas, usando el protocolo de Bloqueo de mensajes de Windows Server (SMB), similar a los malwares WannaCry y NotPetya.

Shamoon apareció por primera vez en 2012 y luego evolucionó, atacando a varias organizaciones saudíes en 2016 y 2017, incluidos servicios públicos y financieros.

Se recomienda tomar las siguientes medidas de seguridad:

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.

- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.

- Bloquear el acceso de administrador predeterminado de los usuarios.

- Aplicar reglas exigentes para la creación de contraseñas.

- Usar un antivirus con escáner de acceso (protección en tiempo real).

- Configurar de manera más estricta el anti spam, una vez evaluados los porcentajes de falsos positivos.

- Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.


Tags: #shamoon #apt #google #smb #oil #gas


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.