Notícias

Ataques à Coreia do Sul afetam bancos e emissoras

mundo - 25/03/2013

As redes de computadores de três grandes bancos Sul-coreanos e três emissoras de televisão ficaram fora do ar quase que simultaneamente às 14 horas de quarta-feira, horário de Seoul. A Coreia do Sul está investigando a possibilidade do cyber ataque ter vindo da Coreia do Norte. Duas principais emissoras de televisão, KBS e MBC, tiveram seus computadores travados e o site da KBS saiu do ar. O canal de TV paga YTN reportou problemas similares. Os ataques às instituições financeiras Shinham Bank, Jeju e Nonghyup afetaram a internet e o mobile banking enquanto os caixas eletrônicos estavam fora do ar.

Esse ataque de malware na Coreia é diferente porque foi focado em enxugar e destruir os sistemas infectados ao invés de roubar dados. No passado, os criadores dos ataques recorriam ao DDoS para remover a infraestrutura de uma nação, assim como o ataque de 2007 na Estônia ou o ataque de 2012 nos bancos americanos por um grupo afirmando ser hacktivistas iranianos. O ataque à Coreia do Sul teve como objetivo corromper o MBR (master boot record) e então apagar todos os dados do disco, o que inutilizava o computador. Além disso, o malware era programado, ou seja, estava dormindo sendo programado para iniciar o ataque em 20 de março de 2013 às 14 horas".

Então o malware, que tinha capacidade de evasão, buscaria uma versão do Windows e iniciaria a ameaça, que é escrita diretamente no disco rígido, corrompendo assim o MBR. O malware também encontrava e desabilitava o antivírus AhnLabs - antivírus comum na Coreia. Isso indica que os ataques tinham como alvo específico a Coreia.

A FireEye fornece proteção contra esses ataques e os identifica como Trojan.Hastati. Os assinantes do Dynamic Threat Intelligence (DTI) na nuvem receberam atualizações para impedir esses ataques.

O malware, porém, não tinha CnC callbacks e é dedicado a destruir o host infectado. No Windows Vista, 7 e 8 ele enumera todos os arquivos no sistema e sobrescreve os arquivos usando a palavra-chave "Hastati". Ele então apaga esses arquivos tornando impossível a sua recuperação.

Fonte: capital informação