image

FBI publiceert details over "Noord-Koreaanse" wiper-malware

donderdag 29 maart 2018, 12:11 door Redactie, 0 reacties

De FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid hebben wederom informatie over malware gepubliceerd die volgens de Amerikaanse autoriteiten door de Noord-Koreaanse overheid wordt ingezet. De malware wordt Sharpknot (pdf) genoemd en is een zogeheten "wiper".

Dergelijke malware is ontwikkeld om de inhoud van harde schijven te wissen. Eenmaal actief op computers overschrijft Sharpknot de Master Boot Record (MBR) en verwijdert bestanden op het lokale systeem, gedeelde netwerkschijven en aangesloten opslagapparaten. De malware overschrijft bestanden eerst met NULL-bytes en hernoemt ze hierna naar een willekeurig gegenereerde bestandsnaam. Pas daarna worden de bestanden verwijderd. Deze werkwijze maakt het forensisch herstellen van de bestanden onmogelijk, aldus de FBI. Zodra de malware klaar is met het verwijderen wordt het systeem herstart, dat vervolgens niet meer bruikbaar is.

In de waarschuwing geeft de FBI bestandsnamen, hashes en Yara-rules om de malware mee te detecteren. Met de informatie kunnen organisaties hun netwerken verdedigen. In november en december vorig jaar, alsmede in februari van dit jaar, publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware".

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.