2012年沙特阿拉伯国家石油公司30,000台计算机中擦除了数据的节目标记计划已返回,并能够针对服务器托管的虚拟桌面。
恶意软件,称为SMAMOON或DISTTRACK,是被称为磁盘刮水器的破坏性程序系列的一部分。2014年使用类似的工具,针对美国的索尼图片娱乐,并于2013年对韩国的几家银行和广播组织。
在2012年的2012年Cyberattack上首次观察到沙特阿美公司的赛马。它通过使用被盗凭据在本地网络上传播到其他计算机,并在预注入日期激活其磁盘擦拭功能。
去年11月,来自赛门铁克的安全研究人员报告了寻找新版本的血小赛,这些赛赛赛鲑鱼于对沙特阿拉伯对抗目标的新鲜袭击中使用。该版本是CONPD在11月17日开始在11月17日开始覆盖硬盘驱动器数据。当地时间在沙特阿拉伯,在该国大多数工人开始周末后不久就很快就开始了。
Palo Alto Networks的研究人员发现了另一个赛赛艇变体,与Symantec的赛事不同,并且可能用于沙特阿拉伯的不同目标。这个第三版本有一个杀戮日期 - 康颇的日期开始擦拭数据 - 11月29日,并包含了针对目标组织的硬编码账户凭据,Palo Alto研究人员周一在一个博客文章中说。
其中一些凭据是用于Windows域帐户的凭据,但是一些是Huawei FusionCloud的默认用户名和密码,虚拟桌面基础架构(VDI)解决方案。
华为FusionCloud等VDI产品让公司在数据中心内运行多个虚拟化桌面安装。然后,用户从瘦客户端访问这些虚拟PC,在不同的分支机构和办公室跨越工作站管理很容易。
VDI解决方案的另一个好处是他们创建了这些虚拟化桌面的常规快照,允许管理员轻松地将它们恢复到已知的工作状态,以防出现问题。
显然,这个最新赛赛艇运动背后的攻击者意识到目标组织使用华为的VDI产品,并意识到它不会使用被盗的Windows域凭据擦除虚拟PC。
“赛船攻击者拥有这些用户名和密码的事实可能表明,他们打算在有针对性组织获得对这些技术的访问,以增加其破坏性攻击的影响,”Palo Alto Networks研究人员说。“如果是真,这是一个主要的开发,组织应考虑在保护与VDI部署相关的凭据中添加额外的保障措施。”
虽然到目前为止,但这种技术才观察到在目标网络内的主要目的是数据的破坏中,但是将来可以轻松采用勒索瓶创造者。一些赎金软件变体已经尝试在加密数据之前删除某些类型的备份,因此定位VDI快照将是该策略的自然扩展。
11月攻击中的任何目标都没有被赛门铁克或帕洛阿尔托网络命名。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。