Cotação de desconto para licenças múltiplas

Mudar de região

English Português
Banco de Dados de Ameaças Malware CrashOverride

CrashOverride

Por GoldSparrow em Malware
Traduzir Para:

Cartão de pontuação de ameaças

Popularity Rank: 26,630
Nível da Ameaça: 80 % (Alto)
Computadores infectados: 10
Visto pela Primeira Vez: February 16, 2025
Visto pela Última Vez: November 20, 2025
SO (s) Afetados: Windows

CrashOverride é um malware que ganhou notoriedade porque foi usado para derrubar a rede elétrica da Ucrânia. O ataque do CrashOverride que aconteceu em dezembro conseguiu reduzir a capacidade de energia de Kiev para 20%. Os pesquisadores de segurança do PC receberam relatos de que esse ataque pode ter sido um teste para ataques em larga escala. A partir de hoje, o malware CrashOverride é a forma mais sofisticada de malware projetada para sabotar as redes elétricas que já foi observada.

O CrashOverride é um Malware Malicioso que pode Causar um Enorme Dano

O CrashOverride foi criado para atingir deliberadamente sistemas físicos e é apenas o segundo de seu tipo, sendo o primeiro o Stuxnet, que ganhou notoriedade em seus ataques contra as Instalações Nucleares Iranianas em 2009. O CrashOverride foi projetado para ser capaz de se adaptar a diferentes instalações elétricas e, se aplicado da maneira correta, pode causar muito mais danos e interrupções do que foi observado em Kiev em dezembro. O potencial do CrashOverride como uma ferramenta para realizar ataques em larga escala é enorme e ainda inexplorado. Lamentavelmente, não há nada de especial na Ucrânia para que ela seja alvo desses ataques. Não há nada que possa impedir que os cibercriminosos ou estados hostis usem o CrashOverride para atingir outros países com esses ataques..

Como Funciona o Ataque do CrashOverride

O ataque do CrashOverride é particularmente prejudicial porque é automatizado. Nos exemplos anteriores desses ataques, os criminosos virtuais chamavam atenção para o sistema alvo e, em seguida, desligavam as subestações elétricas manualmente. No entanto, no caso do CrashOverride, o programa interage diretamente com o equipamento na rede elétrica, utilizando os protocolos utilizados por essas máquinas para enviar comandos e desligar equipamentos rapidamente. Isso significa que o CrashOverride pode ser usado para executar ataques mais rapidamente, requer menos pessoas para realizar o ataque e pode ser executado com menos preparação. O ataque do CrashOverride, em sua forma atual, mostra que esse ataque pode ser dimensionado com bastante eficiência, sendo usado para derrubar mais alvos. Os ataques anteriores exigiriam mais de 20 pessoas apenas para atingir 2 ou 3 instalações elétricas diferentes. Dessa forma, o CrashOverride pode permitir que 20 pessoas atinjam até 15 sites diferentes de uma só vez, ou mais, se houver tempo suficiente para realizar o ataque. O CrashOverride pode ser programado e automatizado, o que significa que ele pode ser usado para maximizar os efeitos do ataque. Um aspecto adicional do CrashOverride que é especialmente preocupante para os pesquisadores de segurança do PC é que esse malware pode ser personalizado para ser executado sem sem notado, o que significa que o CrashOverride pode ser executado sem estar conectado à Internet ou receber entradas de seus controladores. O CrashOverride pode fornecer uma de quatro diferentes cargas úteis nos seus ataques, que podem ser adaptadas dependendo dos protocolos usados ​​na grade de energia de destino.

O Potencial de Causar Danos Físicos do CrashOverride

Um aspecto preocupante do CrashOverride é que, se ele for implantado da maneira correta, ele poderá ser usado para causar danos físicos ao equipamento de destino. Por exemplo, o CrashOverride pode ser usado para explorar uma vulnerabilidade em certos relés que podem impedir que os disjuntores operem corretamente, causando colapsos, curtos-circuitos e outros possíveis danos físicos, que podem até resultar em incêndios e outras consequências prejudiciais. Esses ataques podem ser personalizados para causar um efeito dominó, onde um ataque pode resultar em efeitos adicionais ocorrendo em toda a rede elétrica.

As Possibilidades de um Ataque do CrashOverride

O momento dos ataques do CrashOverride coincidiu com a invasão da Crimeia pela Rússia e foi ligado a grupos patrocinados pelo Estado, assim como os ataques do Stuxnet ao Irã foram claramente patrocinados pelo governo dos Estados Unidos. Um aspecto preocupante do CrashOverride é que os pesquisadores de malware suspeitam que o malware CrashOverride pode ser adaptado para outros alvos e utilitários de alto perfil, tais como a redes de gás, água e computadores.

Relatório de análise

Informação geral

Family Name: Trojan.MSIL.Taskun.LG
Signature status: No Signature

Known Samples

MD5: 82a9120b4f58be5364de43ad1eccc086
SHA1: 28379bc75f9ffb8068ba024fe9cacf9d4a2529a4
SHA256: AB19A47C467B01D4448B65943295DF650072B477FAF8C5A4E56B3A0E94B3A367
Tamanho do Arquivo: 696.87 KB, 696872 bytes
MD5: afcbeae04afdeb6fa68a947b7a0ed9de
SHA1: 383f42accf62d4d48843521ad3d62c828f7680d8
SHA256: 975FDEA261E77D9845E8A5FDF69169D98B63073D1C449CB058965C0A486B38C3
Tamanho do Arquivo: 133.63 KB, 133632 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is .NET application
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

Windows PE Version Information

Nome Valor
Assembly Version 1.0.0.0
File Description Killing
File Version 1.0.0.0
Internal Name Killing.exe
Legal Copyright Copyright © 2025
Original Filename Killing.exe
Product Name Killing
Product Version 1.0.0.0

Digital Signatures

Signer Root Status
NVIDIA Corporation DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 Hash Mismatch

File Traits

  • .NET
  • HighEntropy
  • No Version Info
  • x86

Block Information

Total Blocks: 8
Potentially Malicious Blocks: 5
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 x 0 x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.Krypt.GP
  • MSIL.Taskun.BE
  • MSIL.Taskun.LG

Registry Modifications

Key::Value Dados API Name
HKCU\software\microsoft\windows\currentversion\internet settings\5.0\cache\content::cacheprefix RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\5.0\cache\cookies::cacheprefix Cookie: RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\5.0\cache\history::cacheprefix Visited: RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect RegNtPreCreateKey

Windows API Usage

Category API
User Data Access
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Process Terminate
  • TerminateProcess
Process Manipulation Evasion
  • NtUnmapViewOfSection

Tendendo

Mais visto

Carregando...