Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Investigadores descubren malware usado en ciberataque a Sony Pictures
Willis McDonald y Loucif Kharouni, investigadores de Damballa, dicen que en el ataque realizado a Sony Pictures se utilizó un malware que después de haber eliminado información sensible pudo haber quedado oculto usando nuevas herramientas anti-forenses.
La pareja de investigadores encontró bastantes mejoras en la última versión de Destover, mejor conocido como el malware que en noviembre del año pasado borró datos a través de las estaciones de trabajo en Sony Pictures.Estados Unidos culpó a Corea del Norte por tal ataque, pero Pyongyang niega tal acción.
Ahora McDonald y Kharouni dicen que los ataques realizados con el malware Destover (incluyendo el de Sony) utilizan herramientas para cambiar las marcas de tiempo de los archivos y modifican bitácoras.
"El troyano Destover se encarga de eliminar los archivos de un sistema infectado, haciéndolo inútil ... por razones ideológicas y políticas, no para obtener ganancias financieras", comentarón los investigadores.
"Mucho se reveló en las semanas y meses siguientes despues de los ataques, a excepción de cómo los atacantes pudieron permanecer sin ser detectados dentro de la red el tiempo suficiente para expandir su presencia y robarse Terabytes de información sensible."
Las herramientas incluyen a setMFT, que manipula las marcas de tiempo para despistar a los investigadores a menos que los archivos se comparen con bitácoras y fechas, y a afset, que puede borrar bitácoras de Windows basadas en el tiempo y la identidad y alterar el tiempo de elaboración de un ejecutable y el checksum; la utilidad de esta última es muy valiosa para los atacantes pues permitiría borrar sus huellas mientras se mueven a través de las redes corporativas.
"Un análisis forense completo de un sistema revelaría la presencia de afset y de las actividades perdidas de las bitácoras, pero es probable que esta actividad pueda pasar desapercibida en un estado inicial de la infección, creando un alto riesgo de permanencia de la misma".
Sony Pictures entró en bloqueo después de la infracción en la que terabytes de datos confidenciales fueron robados, la mayoría de los cuales terminaron en línea.
