El FBI lanzó un alerta sobre un malware que ha sido usado en un ataque contra una compañía en Estados Unidos, el cual es capaz de borrar los datos almacenados en el disco duro y el master boot record (MBR). Si bien no fue confirmado por ninguna fuente oficial, todo parece indicar que el reciente ataque en el que se utilizó esta amenaza fue el sufrido por Sony Pictures la semana pasada.
Luego de una intrusión a los sistemas de la compañía, los equipos comenzaron a mostrar una amenaza de que se haría pública información confidencial obtenida desde el interior de la empresa. El ataque dejó fuera de funcionamiento durante casi una semana la red de computadoras de la compañía, incluyendo su servicio de correo electrónico. Llevaba la firma de Guardians of Peace o #GOP, y algunos días después, se filtraron 5 películas no estrenadas o con estrenos limitados. Según ZDNet, incluso han circulado contraseñas, cuentas de correo de Outlook, y copias de pasaportes de actores y staff de las películas.
Ahora, nuevos datos de Sony Pictures se han filtrado: según reporta Brian Krebs, información de más de 6.800 empleados fue expuesta en documentos que circularon por redes p2p de torrents, que incluían nombres, direcciones, números de seguridad social, salarios y bonos; también información de altos ejecutivos, registros médicos, empleados despedidos e incluso evaluaciones de desempeño.
Múltiples fuentes han informado que los enlaces a los torrents de los datos internos de Sony robados fueron publicados en Pastebin el lunes por la mañana. Menos de una hora después de la publicación, los hosts individuales que estaban compartiendo copias de los datos de Sony cayeron bajo ataques constantes de Denegación de Servicio (DoS), aparentemente destinados a prevenir que los archivos sean compartidos con otros usuarios de torrent.
Este directorio de archivos publicado por Krebs, incluido en los datos filtrados, ofrece un vistazo a la gran cantidad de archivos aparentemente comprometidos en el ataque.
La advertencia del FBI fue publicada en un "flash" confidencial de cinco páginas al que accedió Reuters, en el que daba detalles de la amenaza usada contra una compañía en Estados Unidos, sin dar nombres. Además, proveía consejos para responder en caso de una infección, y pedía a las empresas que contacten a la agencia si identificaban malware similar.
El reporte indicaba que el malware es capaz de sobrescribir toda la información del disco duro de una computadora, incluyendo el master boot record, lo que impide que los equipos arranquen. "La sobrescritura de los archivos de datos hará que sea extremadamente difícil y costoso, si no imposible, recuperar los datos utilizando métodos forenses estándar", dice el alerta, según Reuters.
¿Quién está detrás?
Mientras tanto, todos los reportes siguen apuntando a Corea del Norte. Desde un principio, sitios como Re/code asociaban el ataque una amenaza contra la película de Sony que tiene como fecha de estreno el 25 de diciembre, “The Interview”. Es una comedia con Seth Rogen y James Franco como periodistas de TV, que se ven involucrados en un plan de la CIA para asesinar al líder norcoreano Kim Jong-Un, según cuenta CNET.
El gobierno de Pyongyang denunció en junio pasado que la película era "un patrocinio indisimulado del terrorismo, así como un acto de guerra" en una carta al Secretario General de la ONU, Ban Ki-moon, tal como cuenta Reuters.
Consultado por la BBC, un vocero norcoreano dijo: "Las fuerzas hostiles están relacionando todo a la República Popular Democrática de Corea (Corea del Norte). Les aconsejo amablemente que solo esperen y verán".
Por otro lado, el FBI compartió una firma de detección de instrusión de Snort para el archivo malicioso, y como Brian Krebs notó, "el lenguaje del paquete referenciado por los archivos maliciosos es el coreano".