El malware Meteor Wiper llega a los ferrocarriles iraníes

wiper malware

En los últimos años, hemos visto un cambio masivo en la forma en que operan los ciberdelincuentes. En lugar de utilizar malware destructivo, se han centrado en desarrollar complicados esquemas de extorsión o malware de alta calidad que roba datos confidenciales de la víctima. Si bien estas operaciones son muy rentables, todavía hay algunos actores de amenazas que dependen del malware destructivo clásico. Uno de los implantes populares que se ajustan a esta categoría son los llamados "limpiadores". Se comportan de manera similar al ransomware, pero hay una diferencia importante: eliminan archivos en lugar de cifrarlos. Naturalmente, los delincuentes no ofrecen una opción de recuperación ni piden dinero; su objetivo es ser lo más destructivo posible.

El malware Meteor Wiper entra en escena

En julio, los expertos en ciberseguridad identificaron un nuevo implante, que se ajusta a la descripción anterior: el malware Meteor Wiper. Se utilizó en un ataque a gran escala contra la agencia ferroviaria iraní. Aunque la "eliminación de archivos" puede parecer una tarea sencilla, puede estar seguro de que las amenazas como Meteor Wiper Malware no son básicas en absoluto. Suelen realizar una larga lista de tareas para asegurarse de que su ejecución transcurra sin problemas y que la víctima no tenga tiempo de reaccionar.

En el caso del Meteor Wiper Malware, parece que el ataque podría tener una motivación política; sin embargo, la lealtad política o el origen de los atacantes aún no está claro. Durante el ataque, los foros de mensajes de la vía férrea recibieron spam con mensajes que decían a los pasajeros que llamaran a un teléfono específico para obtener más detalles. Sin embargo, el teléfono no pertenece al ferrocarril; llamarlo pondría a los pasajeros en contacto con la oficina del Líder Supremo Ali Khamenei.

El ataque de Meteor Wiper Malware implica varias etapas para garantizar una ejecución impecable. El vector de infección inicial no está claro. Una vez en funcionamiento, el limpiaparabrisas utiliza varios componentes para llevar a cabo el ataque:

  • Setup.bat: manipula la Política de grupo de Windows para que sea posible copiar los ejecutables maliciosos en otros sistemas de la misma red. También verifica la presencia de software antivirus, deshabilita Windows Defender y desconecta temporalmente la computadora de Internet. También borra los registros de eventos de Windows y procede a ejecutar tres archivos.
  • Env.exe o msapp.exe: ambos archivos sirven a un sistema idéntico, pero sus nombres difieren. Estos alojan el componente de limpiaparabrisas, que elimina archivos.
  • Nti.exe: un casillero MBR, que anula el MBR (Master Boot Record) para evitar que las PC se inicien.
  • Mssetup.exe: un bloqueador de pantalla que muestra una imagen y un mensaje para la víctima.

Normalmente, los ataques destructivos como el que lleva a cabo Meteor Wiper Malware están destinados a enviar un mensaje. Sin embargo, los actores de la amenaza no hacen tal cosa: no tienen demandas, no citan su motivación y dejan a la víctima en la oscuridad. Todavía tenemos que ver si Meteor Wiper Malware atacará a otra agencia o empresa.

En Ruik
August 2, 2021
Malware
Spanish
August 2, 2021
Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.