Olympic Destroyer fue el malware que intentó arruinar los JJ.OO. en su inauguración

Cualquier evento de envergadura se ha convertido en un acontecimiento muy tentador para llevar a cabo ciberataques. Como no podía ser de otra forma, los organizadores de los Juegos Olímpicos de Invierno que se están celebrando en la localidad surcoreana de Pyeongchang ya estaban preparados para un ciberataque que ocurrió el mismo día de la inauguración, el 9 de febrero.

Tras comenzar el acto de inauguración de los Juegos Olímpicos de Invierno, los investigadores de Cisco Talos descubrieron un malware al que han decidido llamar Olympic Destroyer, que aparentemente fue construido con la intención de destruir los sistemas informáticos utilizados para el evento deportivo. De momento se está investigando y no se conoce el alcance de la infección, pero todo apunta a que el robo de datos no estaba entre los objetivos del atacante, algo que aleja la posibilidad de que algún estado haya patrocinado el ataque sin que se pueda descartar totalmente dicha posibilidad.

Siendo más concretos, la intención del hacker (individual o grupo) era eliminar la instantáneas de los sistemas, los registros de eventos e intentar usar PsExec y WMI para avanzar en el entorno. El comportamiento ha resultado ser similar al de Bad Rabbit, el ransomware que causó estragos en Europa del Este durante el tercer trimestre del año pasado. En su proceso de infección, Olympic Destroyer envía un fichero binario a la máquina objetivo que contiene múltiples ficheros, los cuales están ofuscados y sus nombres son generados aleatoriamente.

Dos de los ficheros incluidos en el binario son módulos dedicados a robar credenciales, uno dirigido contra los navegadores web (Internet Explorer, Firefox y Chrome) y otro contra el Servicio de Subsistema de Autoridad de Seguridad Local (LSASS) de Windows utilizando un método similar al empleado por la herramienta de penetración Mimikatz. Tras conseguir las credenciales se dedica a utilizarlas para acceder e infectar servidores y borrar las instantáneas del sistema utilizando el comando vssadmin.exe y wbadmin.exe para destruir otros ficheros importantes.

Luego el malware se aprovecha de un comando llamado BCDEdit, el cual es usado para ajustar las configuraciones de arranque en máquinas Windows. Esta acción se realiza con el objetivo de que el sistema operativo no intente reparar nada en el host infectado, mostrando que el hacker tiene como propósito dejar el sistema inutilizable en lugar robar datos sensibles.

El ciberataque, que como ya hemos dicho fue llevado a cabo en el día de inauguración, duró entre 9 y 12 horas, provocando que los asistentes no pudiesen imprimir boletos y también afectando a retransmisiones de televisión.

Fuente: ThreatPost