El equipo de análisis e investigación de Kaspersky Lab ha logrado identificar un nuevo malware wiper llamado StoneDrill. Igual que Shamoon, otro wiper anterior, destruye todo lo que se encuentra en el equipo infectado.
- StoneDrill se ha detectado en Europa tras haber atacado en Oriente Medio. Incorpora avanzadas técnicas anti detección y espionaje
- En 2012, el wiper Shamoon infectó más de 35.000 ordenadores poniendo en peligro el 10% del suministro mundial de petróleo.
El equipo de análisis e investigación de Kaspersky Lab ha logrado identificar un nuevo malware wiper llamado StoneDrill. Igual que Shamoon, otro wiper anterior, destruye todo lo que se encuentra en el equipo infectado. StoneDrill dispone de avanzadas técnicas anti detección y espionaje. Además de sus objetivos en Oriente Medio, StoneDrill ha sido identificado en Europa, donde los wipers todavía no habían hecho acto de aparición.
En 2012, el wiperShamoon (conocido también como Disttrack) se hizo famoso tumbando cerca de 35.000 computadoras de una compañía petrolífera de Oriente Medio. El ataque fue devastador y puso en peligro cerca del 10% del suministro mundial de petróleo. Sin embargo, el incidente sólo ocurrió una vez. A finales del pasado 2016, se ha detectado una campaña mucho más extensa que utiliza una versión actualizada del malware de 2012, Shamoon 2.0.
Cuando estaban analizando estos ataques, los analistas de Kaspersky Lab encontraron otro malware parecido al Shamoon 2.0, pero al mismo tiempo era muy diferente y más sofisticado, al que han dado el nombre de StoneDrill.
StoneDrill – un wiper con conexiones
No se sabe cómo se propaga StoneDrill, pero una vez en el quipo atacado se aloja en el proceso de memoria del buscador preferido del usuario. StoneDrill utiliza dos técnicas sofisticadas anti emulación dirigidas a despistar a las soluciones de seguridad instaladas en la máquina de la víctima, procediendo a destruir los archivos de los discos del equipo. Hasta ahora se han identificado dos objetivos del wiper StoneDrill, uno en Oriente Medio y otro en Europa.
Junto al módulo de borrado, los analistas de Kaspersky Lab han encontrado un backdoor del StoneDrill, que aparentemente ha sido desarrollado por los mismos programadores y que se utiliza para espiar. Los expertos han descubierto cuatro paneles de comando y control utilizados por los atacantes para realizar operaciones de espionaje con la ayuda del backdoor contra un número desconocido de objetivos.
Quizás, lo más interesante de StoneDrill es que parece tener conexiones con otros wipers y operaciones de espionaje que se han visto anteriormente. Cuando los analistas de Kaspersky Lab descubrieron StoneDrill, gracias a la ayuda de las reglas Yara creadas para identificar muestras desconocidas de Shamoon, se dieron cuenta de que estaban ante un elemento malicioso que parecía haber sido creado sin relación con Shamoon. Y aunque ambas familias, Shamoon y StoneDrill no comparten el mismo código base, el estilo de programación y el objetivo de los autores son muy similares. Esto es lo que ha facilitado la identificación de StoneDrill gracias a las reglas Yara.
También se ha podido observar semejanzas con otros malware anteriores, pero en esta ocasión no entre Shamoon y StoneDrill. De hecho, StoneDrill utilizaba algunos fragmentos del código encontrado en NewsBeef APT, también conocido como Charming Kitten (simpático gatito), otra campaña maliciosa muy activa en los últimos años.
“Estamos muy intrigados por los parecidos y las comparaciones entre estas tres operaciones. ¿StoneDrill es fruto del mismo sujeto detrás de Shamoon?, o quizás, ¿StoneDrill y Shamoon tienen detrás a dos grupos distintos y no conectados que pretenden ambos atacar a entidades sauditas? ¿O son dos grupos distintos, pero perfectamente alineados en sus objetivos? Probablemente esta última posibilidad sea la más plausible ya que mientras que Shamoon incluye secciones escritas en árabe, StoneDrill lo hace en persa. Los analistas geopolíticos rápidamente comentarían que tanto Irán como Yemen son actores en el cercano conflicto entre Irán y Arabia Saudita, y Arabia Saudita en el país donde más víctimas de este malware han sido identificadas. Pero por supuesto, esto no excluye la posibilidad de que estos objetos sean simplemente unos señuelos”, comenta Mohamad Amin Hasbini, analista senior de seguridad, del equipo mundial de análisis e investigación de Kaspersky Lab.
Para proteger adecuadamente a las organizaciones de este tipo de ataques, los expertos de seguridad de Kaspersky Lab recomiendan lo siguiente:
- Realizar una comprobación de seguridad de la red de control (p.ej.: auditoría de seguridad, test de penetración, análisis de deficiencias), para poder identificar y eliminar cualquier brecha de seguridad. Es necesario revisar las políticas de seguridad de terceros y proveedores externos si cuentan con un acceso directo a la red de control.
- Solicitar información exterior: Los fabricantes ayudan a las organizaciones con información para poder predecir posibles futuros ataques a las infraestructuras industriales de la empresa. Los equipos de respuesta ante emergencias, como ICS CERT de Kaspersky Lab, suministran gratuitamente información transversal de los mercados.
- Formar a los empleados, dedicando especial atención hacia los equipos de ingeniería y operaciones y su conocimiento acerca de los últimos ataques y amenazas.
- Disponer de la protección adecuada dentro y fuera del perímetro. Una estrategia adecuada de seguridad necesita contar con suficientes recursos para detectar y responder a tiempo los ataques, antes de que alcancen algún objetivo importante.
- Evaluar métodos avanzados de protección, incluidas comprobaciones regulares de seguridad para controladores y monitorización especializada de red, que permitan incrementar la seguridad global de la compañía y reducir las posibilidades de éxito en una brecha, incluso si alguno de los nodos vulnerables no puede ser reparados o eliminados.
Los suscriptores de los informes de inteligencia Kaspersky Lab tienen a su disposición documentos sobre Shamoon, StoneDrill y NewsBeef. Para más información, puede contactar con intelreports@kaspersky.com.
