image

IBM: aanval in Midden-Oosten met malware die MBR wist

woensdag 4 december 2019, 16:41 door Redactie, 1 reacties

In het Midden-Oosten heeft een "vernietigende aanval" plaatsgevonden met malware die de Master Boot Record (MBR) van harde schijven wist en partities overschrijft, waardoor data verloren gaat en systemen niet meer opstarten, zo stelt IBM op basis van eigen onderzoek.

Landen en namen van organisaties die door de aanval zijn getroffen zijn niet bekendgemaakt. De malware in kwestie wordt door IBM "ZeroCleare" genoemd en gebruikt het programma RawDisk van het softwarebedrijf Eldos om data te wissen. "De aanvallers achter ZeroCleare gebruiken RawDisk om de MBR te wissen en schijfpartities van een groot aantal systemen te beschadigen", aldus Limor Kessem van IBM. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten.

In 2012 werden 30.000 computers van de Saoedische oliegigant Saudi Aramco door zogeheten "wiper-malware" gewist. Die aanval begon met documenten met kwaadaardige macro's. Hoe aanvallers toegang tot systemen van de getroffen organisaties kregen om ZeroCleare te installeren laat IBM niet weten. Wel claimt het bedrijf dat de malware bij een "vernietigende aanval" in het Midden-Oosten is ingezet die bedrijven in de energie en industriële sectoren heeft getroffen.

Volgens IBM maken aanvallers bij de meeste aanvallen gebruik van accounts met verhoogde rechten om zich verder in het netwerk te bewegen. Er wordt dan ook aangeraden om het aantal van dergelijke accounts te beperken en ze van multifactorauthenticatie te voorzien. Daarnaast moet het niet mogelijk zijn om met één account alle systemen te benaderen. Tevens doen organisaties er verstandig aan om back-ups te maken, die te testen en offline te bewaren.

Reacties (1)
05-12-2019, 15:54 door karma4
Privileged identity management.
Het werkelijke probleem waar veel ellende achter zit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.