Los malware son una amenaza cada vez más ubicua, apareciendo nuevos tipos con una frecuencia cada vez mayor. Eso sin contar con el regreso de viejos conocidos, los cuales vuelven con nuevas características. Este es el caso de Shamoon, un malware que apareció en 2012 en la red de la compañía petrolífera estatal de Arabia Saudí.
Cuando apareció ir primera vez, Shamoon afectó a más de 30.000 terminales, borrando su disco duro. Como medida para evitar que esto sucediera, se emplearon escritorios virtuales como medida de defensa. En su regreso, Shamoon ha demostrado que esta medida no es infalible, borrando también estos pecés virtualizados. Su objetivo vuelven a ser instituciones saudíes que no han sido reveladas.
Según investigadores de la firma de seguridad Palo Alto Networks, esta variante de Shamoon incorpora las credenciales necesarias para acceder a la infraestructura VDI, es decir, las máquinas virtuales. Estas máquinas pueden descargar una imagen del sistema como medida de protección contra borrado, por lo que se ha tratado de hacer el mayor daño posible.
Se desconoce si los atacantes se hicieron con estas credenciales en un ataque anterior, aunque podrían haberse valido de los nombres de usuario y sus respectivas contraseñas aparecen en la documentación oficial del fabricante de la tecnología de virtualización, Huawei, para hacerse con dicha información.
Vía: Ars Technica.