Meteor Wiper Malware treft Iraanse spoorwegen

wiper malware

De afgelopen jaren hebben we een enorme verandering gezien in de manier waarop cybercriminelen opereren. In plaats van destructieve malware te gebruiken, hebben ze zich gericht op het ontwikkelen van gecompliceerde afpersingsschema's of hoogwaardige malware die gevoelige gegevens van het slachtoffer steelt. Hoewel deze operaties zeer winstgevend zijn, zijn er nog steeds enkele bedreigingsactoren die vertrouwen op de klassieke destructieve malware. Een van de populaire implantaten die in deze categorie passen, zijn de zogenaamde 'wipers'. Ze gedragen zich op een manier die vergelijkbaar is met ransomware, maar er is één groot verschil: ze verwijderen bestanden in plaats van ze te versleutelen. Uiteraard bieden de criminelen geen herstelmogelijkheid en vragen ze ook niet om geld - hun doel is om zo destructief mogelijk te zijn.

Meteor Wiper Malware komt op het toneel

In juli identificeerden cyberbeveiligingsexperts een nieuw implantaat, dat past bij de bovenstaande beschrijving: de Meteor Wiper Malware. Het werd gebruikt bij een grootschalige aanval op het Iraanse spoorwegagentschap. Hoewel 'bestand verwijderen' misschien een eenvoudige taak lijkt, kunt u er zeker van zijn dat bedreigingen zoals de Meteor Wiper Malware helemaal niet eenvoudig zijn. Ze voeren meestal een lange lijst met taken uit om ervoor te zorgen dat de uitvoering vlekkeloos verloopt en dat het slachtoffer geen tijd heeft om te reageren.

In het geval van de Meteor Wiper Malware lijkt het erop dat de aanval politiek gemotiveerd is, maar de politieke loyaliteit of oorsprong van de aanvallers is nog niet duidelijk. Tijdens de aanval werden de prikborden van de spoorweg overspoeld met berichten waarin passagiers werd verteld een specifieke telefoon te bellen voor meer informatie. De telefoon is echter niet van de spoorlijn – bellen zou passagiers in contact brengen met het kantoor van Opperste Leider Ali Khamenei.

De aanval van Meteor Wiper Malware omvat meerdere fasen om een vlekkeloze uitvoering te garanderen. De initiële infectievector is niet duidelijk. Eenmaal actief, gebruikt de wisser verschillende componenten om de aanval uit te voeren:

  • Setup.bat - knoeit met het Windows-groepsbeleid om het mogelijk te maken om de schadelijke uitvoerbare bestanden naar andere systemen op hetzelfde netwerk te kopiëren. Het controleert ook op de aanwezigheid van antivirussoftware, schakelt Windows Defender uit en koppelt de computer tijdelijk los van internet. Het wist ook Windows Event Logs en gaat verder met het uitvoeren van drie bestanden.
  • Env.exe of msapp.exe - beide bestanden bedienen een identiek systeem, maar hun namen verschillen. Deze hosten de wiper-component, die bestanden verwijdert.
  • Nti.exe – een MBR-locker die de MBR (Master Boot Record) overschrijft om te voorkomen dat pc's opstarten.
  • Mssetup.exe – een schermvergrendeling die een afbeelding en een bericht aan het slachtoffer weergeeft.

Gewoonlijk zijn destructieve aanvallen zoals die van de Meteor Wiper Malware bedoeld om een bericht af te leveren. Maar de dreigingsactoren doen zoiets niet - ze stellen geen eisen, noemen hun motivatie niet en laten het slachtoffer in het ongewisse. We moeten nog zien of de Meteor Wiper Malware achter een ander bureau of bedrijf aan gaat.

Tegen Ruik
August 2, 2021
Malware
Nederlands
August 2, 2021
Malware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.