De aanval op Zuid-Koreaanse banken en televisiemaatschappen die vorige week plaatsvond is uitgevoerd via de gehackte software van een Koreaans anti-virusbedrijf. Tegenover IDG bekent het Koreaanse anti-virusbedrijf AhnLab dat aanvallers erin geslaagd zijn om de beheerdersaccounts van de getroffen organisaties te hacken.

Account
De aanvallers wisten met deze gestolen inloggegevens toegang tot de patchmanagementserver te krijgen, waar normaal binnen de bedrijfsnetwerken updates mee worden uitgerold. In dit geval werd er malware als een normale signature update klaargezet en onder 32.000 computers verspreid, die zo besmet raakten.

De malware was ingesteld om op 20 maart om 14:00 'af te gaan' en de Master Boot Record van besmette machines te wissen, zodat die niet meer konden opstarten.

Ook wist de malware Linux-servers te wissen. AhnLab benadrukt dat het niet zelf is gehackt, maar dat het gaat om systemen die door de getroffen organisaties zelf beheerd werden.

Phishing
Het Finse F-Secure ontdekte een RAR-bestand dat als onderdeel van een phishingaanval is verspreid. Mogelijk hebben de aanvallers op deze manier besmette pc's als springplank voor de aanval gebruikt.