FANDOM


Shamoon, también conocido como W32.DisTrack, es un virus de computadora modular descubierto por Seculert en 2012, dirigido a versiones recientes de kernel NT de 32 bits de Microsoft Windows. Se ha observado que el virus tiene un comportamiento diferente de otros ataques de malware, debido a la naturaleza destructiva y el costo del ataque y la recuperación. Conocido años después como el "mayor hack en la historia", el virus aparentemente estaba destinado a la guerra cibernética. Shamoon puede propagarse desde una máquina infectada a otras computadoras en la red.

Una vez que un sistema está infectado, el virus continúa compilando una lista de archivos de ubicaciones específicas en el sistema, cargándolos al atacante y borrándolos. Finalmente, el virus sobrescribe el registro maestro de arranque de la computadora infectada, haciéndolo inutilizable. El virus se ha utilizado para la guerra cibernética contra las compañías petroleras nacionales de Arabia Saudita Aramco de Arabia Saudita y RasGas de Qatar. Su descubrimiento fue anunciado el 16 de agosto de 2012 por Symantec, Kaspersky Lab y Seculert. Kaspersky Lab y Seculert han destacado las similitudes entre Shamoon y el malware Flame.

"Shamoon" también se ve como una cadena que se encuentra en el virus Wiper.

Antes del Ataque

El malware era único, utilizado para atacar al gobierno saudita al causar la destrucción de la compañía petrolera nacional de propiedad estatal Saudi Aramco. Los atacantes publicaron un pastel en PasteBin.com horas antes de que ocurriera la bomba lógica del limpiaparabrisas, citando la opresión y el régimen de Al-Saud como una razón detrás del ataque. [10 ] El ataque fue bien organizado, según Christina Kubecka, ex asesora de seguridad de Saudi Aramco después del ataque y líder del grupo de seguridad de Aramco Overseas. [3 ] Un empleado de Saudi Aramco no identificado en el equipo de Tecnología de la Información abrió un correo electrónico de phishing malicioso, permitiendo la entrada inicial en la red informática a mediados de 2012. Kubecka también detalló en su discurso de Black Hat USA que Saudi Aramco colocó la mayor parte de su presupuesto de seguridad en la red de control de ICS, dejando a la red comercial en riesgo de un incidente mayor. "Cuando se da cuenta de que la mayor parte de su presupuesto de seguridad se gastó en ICS y TI obtiene Pwnd"

Después del Ataque

El ataque Shamoon fue diseñado para hacer dos cosas, reemplazar los datos en los discos duros con una imagen de una bandera estadounidense en llamas e informar las direcciones de las computadoras infectadas a la computadora dentro de la red de la compañía. El virus constaba de tres componentes, el Dropper, el Wiper y el Reporter. El cuentagotas es el componente principal y la fuente de la infección. Este componente deja caer el Wiper y el Reporter en la computadora infectada, se copia en recursos compartidos de red, se ejecuta y crea un servicio para iniciarse cada vez que se inicia Windows. El limpiaparabrisas fue el componente destructivo. Este componente reúne todos los archivos de las ubicaciones de las computadoras infectadas y los borra. Luego envía información sobre los archivos al atacante y los archivos borrados se sobrescriben con archivos corruptos para que no puedan recuperarse.

El 15 de agosto de 2012 a las 11:08 am hora local, más de 30,000 sistemas basados ​​en Windows comenzaron a sobrescribirse. Symantec descubrió que algunos de los sistemas afectados tenían la imagen de una bandera estadounidense mientras se borraban y se sobrescribían los datos. Saudi Aramco anunció el ataque en su página de Facebook y se desconectó nuevamente hasta que se emitió una declaración de la compañía el 25 de agosto de 2012. La declaración informó falsamente que el negocio normal se reanudó el 25 de agosto de 2012. Sin embargo, un periodista del Medio Oriente filtró fotografías tomadas el 1 de septiembre de 2012 que muestran kilómetros de camiones de gasolina que no se pueden cargar debido a sistemas comerciales respaldados que aún no funcionan.

"Saudi Aramco ha restaurado todos sus principales servicios de red interna que fueron impactados el 15 de agosto de 2012 por un virus malicioso que se originó en fuentes externas y afectó a unas 30,000 estaciones de trabajo. Desde entonces, las estaciones de trabajo se han limpiado y restaurado. Como precaución, El acceso remoto a Internet a los recursos en línea estaba restringido. Los empleados de Saudi Aramco volvieron a trabajar el 25 de agosto de 2012, después de las vacaciones de Eid, reanudando el negocio normal. La compañía confirmó que sus sistemas empresariales primarios de exploración y producción de hidrocarburos no se vieron afectados ya que operan en una red aislada sistemas. Las plantas de producción también estaban en pleno funcionamiento, ya que estos sistemas de control también están aislados ".

El 29 de agosto de 2012, los mismos atacantes detrás de Shamoon publicaron otro pastel en PasteBin.com, burlándose de Saudi Aramco con pruebas de que aún conservaban el acceso a la red de la compañía. La publicación contenía el nombre de usuario y la contraseña del equipo de seguridad y de red, y la nueva contraseña para el CEO de Aramco, Khalid Al-Falih.

El contenido de la comunidad está disponible bajo CC-BY-SA a menos que se indique lo contrario.