Malware Meteor Wiper atakuje irańskie koleje

W ostatnich latach zaobserwowaliśmy ogromną zmianę w sposobie działania cyberprzestępców. Zamiast używać destrukcyjnego złośliwego oprogramowania, skupili się na opracowywaniu skomplikowanych schematów wyłudzeń lub wysokiej jakości złośliwego oprogramowania, które kradnie poufne dane ofiary. Chociaż operacje te są bardzo dochodowe, nadal istnieją cyberprzestępcy, którzy polegają na klasycznym destrukcyjnym złośliwym oprogramowaniu. Jednymi z popularnych implantów pasujących do tej kategorii są tak zwane „wipery”. Zachowują się one w sposób podobny do ransomware, ale jest jedna zasadnicza różnica – usuwają pliki zamiast je szyfrować. Oczywiście przestępcy nie oferują możliwości odzyskania pomocy, ani nie proszą o pieniądze – ich celem jest bycie tak destrukcyjnym, jak to tylko możliwe.

Meteor Wiper Malware wkracza na scenę

W lipcu eksperci ds. cyberbezpieczeństwa zidentyfikowali nowy implant, który pasuje do powyższego opisu – Meteor Wiper Malware. Wykorzystano go w zakrojonym na szeroką skalę ataku na irańską agencję kolejową. Chociaż „usunięcie pliku” może wydawać się prostym zadaniem, możesz mieć pewność, że zagrożenia takie jak Meteor Wiper Malware wcale nie są podstawowe. Zwykle wykonują długą listę zadań, aby mieć pewność, że ich wykonanie przebiegnie bezbłędnie, a ofiara nie będzie miała czasu na reakcję.

W przypadku Meteor Wiper Malware wydaje się, że atak może być motywowany politycznie – jednak przynależność polityczna lub pochodzenie atakujących nie jest jeszcze jasne. Podczas ataku tablice informacyjne kolei były zasypywane wiadomościami, w których pasażerowie mieli zadzwonić pod konkretny telefon, aby uzyskać więcej informacji. Telefon nie należy jednak do kolei – dzwoniąc do niego, pasażerowie mogliby skontaktować się z biurem Najwyższego Przywódcy Alego Chameneiego.

Atak Meteor Wiper Malware obejmuje wiele etapów, aby zapewnić bezbłędne wykonanie. Początkowy wektor infekcji nie jest jasny. Po uruchomieniu wycieraczka wykorzystuje kilka komponentów do przeprowadzenia ataku:

• Setup.bat — manipuluje zasadami grupy systemu Windows, aby umożliwić kopiowanie złośliwych plików wykonywalnych do innych systemów w tej samej sieci. Sprawdza również obecność oprogramowania antywirusowego, wyłącza program Windows Defender i tymczasowo odłącza komputer od Internetu. Wymazuje również dzienniki zdarzeń systemu Windows i przystępuje do wykonywania trzech plików.
• Env.exe lub msapp.exe – oba pliki obsługują identyczny system, ale ich nazwy różnią się. Zawierają one składnik wycieraczki, który usuwa pliki.
• Nti.exe – szafka MBR, która zastępuje MBR (Master Boot Record), aby uniemożliwić uruchamianie komputerów.
• Mssetup.exe – blokada ekranu, która wyświetla obraz i wiadomość dla ofiary.

Zazwyczaj destrukcyjne ataki, takie jak ten przeprowadzany przez Meteor Wiper Malware, mają na celu dostarczenie wiadomości. Jednak aktorzy groźby nic takiego nie robią – nie mają żądań, nie przytaczają swojej motywacji i pozostawiają ofiarę w ciemności. Nie wiemy jeszcze, czy Meteor Wiper Malware będzie ścigał inną agencję lub firmę.