Hackers Hidden Cobra da Coreia do Norte preparam o malware destrutivo Sharpknot
Hackers Hidden Cobra da Coreia do Norte |
O US-CERT emitiu um alerta sobre o trojan apelidado de Sharpknot que limpa o MBR (Master Boot Record) e arquivos em máquinas infectadas.
O malware destrutivo é a última ferramenta supostamente do grupo hacker de Pyongyang, Hidden Cobra, objeto de uma longa investigação pelo Centro Nacional de Integração da Comunicação e Segurança Cibernética dos EUA (NCCIC) e pela Cyber Watch (CyWatch) do FBI.
O US-CERT alertou que os usuários e administradores devem dar à atividade associada ao Sharpknot a “prioridade mais alta para a atenuação aprimorada”, pois as máquinas Windows serão “inoperantes” se cada etapa for executada com sucesso.
O malware é projetado para "destruir um sistema Windows comprometido", de acordo com a US-CERT. Primeiro substitui o registro mestre de inicialização (MBR) excluindo arquivos no sistema local, compartilhamentos de rede mapeados e qualquer armazenamento conectado fisicamente aos dispositivos.
Curiosamente, antes de sobrescrever o MBR, uma das primeiras coisas que o Sharpknot tenta após a execução é desabilitar um serviço de segurança chamado "Alerter" que estava presente no Windows XP, mas foi descartado após o Windows Server 2003. O malware precisa ser executado a partir da linha de comando e também tenta desabilitar o serviço “ System Event Notification ”.
Depois que esses serviços estiverem desabilitados, o malware tentará substituir o MBR e exibirá um status "OK" na janela de comando (CMD), caso tenha sido bem-sucedido ou o status "Falha" não tenha sido possível.
"Depois que o MBR é substituído, o malware tenta obter acesso a unidades físicas e de rede conectadas ao sistema da vítima e enumerar recursivamente através do conteúdo da unidade", escreve o US-CERT.
"Quando o malware identifica um arquivo, ele substitui o conteúdo do arquivo por bytes NULL, renomeia o arquivo com um nome de arquivo gerado aleatoriamente e, em seguida, exclui o arquivo, impossibilitando a recuperação .
O Sharpknot é a oitava ferramenta supostamente criada pelo Grupo Hidden Cobra , da qual a US-CERT escreveu desde seu lançamento inicial em junho de 2017 sobre infraestrutura de botnet DDoS do grupo .