DEEP DISCOVERY protege a usuarios de Corea del Sur del troyano que afecta a MBR

El 20 de Marzo, varios ataques golpearon a varias agencias gubernamentales y corporaciones del Sur de Corea, produciéndose interrupciones importantes en sus operaciones. El incidente comenzó cuando en varios ordenadores se apagó la pantalla, mientras que en otros se mostraban imágenes de una calavera y una alerta.

Sin embargo, Trend Micro fue capaz de proteger a usuarios de empresas coreanas frente a esta amenaza-. Dos de nuestras soluciones de descubrimiento de amenazas (Deep Discovery Inspector y Deep Discovery Advisor), detectaron heurísticamente y reportaron tráfico y mensajes que estaba llegando a clientes de Trend Micro, lo cual, después, fue confirmado que se trataba de este ataque. Dado que estos productos fueron capaces de detectar este ataque en tiempo real, nuestros clientes no sufrieron las consecuencias del ataque.

Hemos adquirido varias firmas relacionadas con este evento (detectado como TROJ_INJECTO.BDE) que creíamos que eran responsables de las rutinas de este ataque. Este malware sobreescribe el Master Boot Record (MBR), con una serie de palabras: HASTATI y PRINCIPES. En un uso normal, el MBR contiene información necesaria para que cualquier sistema operativo arranque correctamente.  Este ataque, tras afectar al MBR, automáticamente resetea el sistema. Cuando el sistema se resetea, si MBR está dañado, el PC o servidor es incapaz de arrancar.

A pesar de que esta rutina de afectar el MBR no es nueva (esta  técnica es habitual en ransomware, bloqueando el sistema hasta que las víctimas pagan a los ciberdelincuentes), hacen que las tareas de limpieza sean más difíciles y se consuma mucho tiempo en conseguirlo.

Otros ataques han afectado a otras víctimas de Corea del Sur en estos días. El sitio web con mayor número de transacciones electrónicas fue atacado. Además, los sitios web de varios bancos se han visto comprometidos y han entrado exploits a través de puertas traseras en sistemas, incluso de visitantes de esos sitios web. En este momento, no hay evidencia de que estos ataques fueran coordinados o estén conectados de ninguna manera; se cree que estos sucesos se han dado en la misma franja temporal por pura coincidencia.

Nuestras soluciones de descubrimiento de amenazas, detectaron este malware como HEUR_NAMETRICK.B en ATSE 9.740.1012. Además, los ficheros maliciosos involucrados en estos ataques son detectados por otros productos de Trend Micro y soluciones que utilizan el Official Pattern Release 9.801.00 o posterior. Nuestra investigación sobre estos ataques está todavía en proceso, y daremos más detalles en breve, si es necesario.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.