Вредоносная программа Meteor Wiper поразила иранские железные дороги

В последние годы мы стали свидетелями серьезных изменений в методах работы киберпреступников. Вместо использования разрушительного вредоносного ПО они сосредоточились на разработке сложных схем вымогательства или высококачественного вредоносного ПО, которое крадет конфиденциальные данные у жертвы. Хотя эти операции очень прибыльны, некоторые злоумышленники все еще полагаются на классическое разрушительное вредоносное ПО. Одними из популярных имплантатов, подпадающих под эту категорию, являются так называемые «протирочные салфетки». Они ведут себя так же, как программы-вымогатели, но с одним важным отличием - они удаляют файлы, а не шифруют их. Естественно, преступники не предлагают варианта восстановления и не просят денег - их цель - быть как можно более разрушительной.

Вредоносное ПО Meteor Wiper выходит на сцену

В июле эксперты по кибербезопасности обнаружили новый имплант, который соответствует описанию выше - Meteor Wiper Malware. Он был использован в крупномасштабном нападении на иранское железнодорожное агентство. Хотя «удаление файлов» может показаться простой задачей, вы можете быть уверены, что такие угрозы, как Meteor Wiper Malware, вовсе не являются базовыми. Обычно они выполняют длинный список задач, чтобы убедиться, что их выполнение проходит безупречно и что жертва не успевает среагировать.

В случае с вредоносным ПО Meteor Wiper кажется, что атака может быть политически мотивированной, однако политическая преданность или происхождение злоумышленников пока не ясны. Во время атаки доски объявлений железной дороги были забиты спамом сообщений, в которых пассажирам предлагалось позвонить по конкретному телефону для получения более подробной информации. Телефон, однако, не принадлежит железной дороге - позвонив по нему, пассажиры свяжутся с офисом верховного лидера Али Хаменеи.

Атака Meteor Wiper Malware включает несколько этапов для обеспечения безупречного выполнения. Первоначальный вектор заражения не ясен. После запуска очиститель использует несколько компонентов для атаки:

• Setup.bat - вмешивается в групповую политику Windows, чтобы сделать возможным копирование вредоносных исполняемых файлов в другие системы в той же сети. Он также проверяет наличие антивирусного программного обеспечения, отключает Защитник Windows и временно отключает компьютер от Интернета. Он также стирает журналы событий Windows и приступает к выполнению трех файлов.
• Env.exe или msapp.exe - оба файла обслуживают одну и ту же систему, но их имена различаются. На них размещен компонент очистителя, который удаляет файлы.
• Nti.exe - шкафчик MBR, который отменяет MBR (Master Boot Record), чтобы предотвратить загрузку ПК.
• Mssetup.exe - программа блокировки экрана, которая отображает изображение и сообщение жертве.

Обычно деструктивные атаки, подобные той, которую выполняет Meteor Wiper Malware, предназначены для доставки сообщения. Однако злоумышленники этого не делают - у них нет требований, они не ссылаются на свою мотивацию и оставляют жертву в неведении. Нам еще предстоит увидеть, пойдет ли вредоносная программа Meteor Wiper на другое агентство или компанию.