IBM alerta para malware iraniano que apaga dados em disco

Paulo Brito
05/12/2019

Artefato foi usado em um ataque contra organizações industriais e de energia não identificadas, no Oriente Médio, destruindo todos os dados nos dispositivos contaminados

Os serviços de inteligência e resposta a incidentes (X-Force IRIS), unidade da área de segurança da IBM, descobriram um novo malware da classe wiper, usado em um ataque destrutivo no Oriente Médio. Ele foi batizado de “ZeroCleare”, nome do caminho do banco de dados do seu arquivo binário. Até o momento, o X-Force IRIS não encontrou nenhum relatório anterior no mercado sobre o ZeroCleare. É possível, segundo a equipe, que seja um malware desenvolvido recentemente e que a campanha analisada seja uma das primeiras a usar esse artefato. Segundo a investigação da X-Force, o ZeroCleare foi usado para executar um ataque destrutivo que afetou organizações nos setores industrial e de energia no Oriente Médio. Com base na análise do malware e do comportamento dos invasores, a equipe suspeita que atores a serviço do governo iraniano estejam envolvidos no desenvolvimento e implantação desse malware.

O novo malware “se espalhou para vários dispositivos na rede afetada, semeando um ataque destrutivo que poderia afetar milhares de dispositivos e causar interrupções que poderiam levar meses para se recuperar totalmente”, disse Limor Kessem, analista da equipe de resposta a incidentes X-Force da IBM.

Analistas de segurança alertaram que o Irã poderia aumentar o uso de ataques cibernéticos em meio a tensões crescentes com a Arábia Saudita e os Estados Unidos. Os analistas da IBM acreditam que o APT34 – um grupo de hackers vinculado ao governo iraniano – e pelo menos um outro grupo com sede no Irã “colaborou na parte destrutiva do ataque ZeroCleare”.

Como Shamoon, o malware também vinculado ao Irã que danificou dezenas de milhares de computadores na gigante petrolífera Saudi Aramco em 2012, o ZeroCleare foi projetado para substituir o MBR (registro mestre de inicialização) em máquinas Windows. O MBR é um programa executado sempre que um computador é reiniciado, tornando-o um mecanismo vital para um sistema operacional. Ambos os conjuntos de malware abusam do EldoS RawDisk, um programa legítimo usado para lidar com arquivos e partições digitais, de acordo com Limor Kessem.

Compartilhar: