GReAT
Si eres un lector asiduo del blog, conocerás nuestro equipo GReAT (equipo de investigación y análisis global), compuesto por más de 40 expertos en seguridad de todo el mundo especializados en la protección de nuestros clientes contra las ciberamenazas más sofisticadas. A los integrantes les gusta comparar su trabajo con la paleontología: explorar la Deep web en busca de “huesos” y “cibermonstruos”. Algunos considerarán que este enfoque está pasado de moda: ¿qué tiene de especial analizar los “huesos” de las “criaturas” del pasado cuando lo importante es proteger tus redes de los monstruos que viven hoy? Bueno, os contaré una historia que demuestra que, a veces, no encontraréis los monstruos de hoy si no es mirando a los de ayer…
Algunos de vosotros conoceréis los llamados wipers, un tipo de malware que, una vez instalado en el PC atacado, elimina por completo la información que contiene y deja a su propietario con un hardware con apenas utilidad. El wiper más famoso (e infame) es Shamoon, un malware que en 2012 hizo mucho ruido en Oriente Medio al destruir la información de más de 30.000 equipos de la mayor compañía petrolera, Saudi Aramco, además de atacar a un gigante energético, Rasgas. Imaginad: 30.000 sistemas inoperativos de la mayor compañía petrolera del mundo…
Curiosamente, desde su devastadora campaña de 2012 contra la compañía saudí, poco se ha sabido de Shamoon, hasta que en 2016 volvió como Shamoon 2.0 con varias oleadas de ataques (de nuevo en Oriente Medio).
Desde que empezaron las nuevas oleadas de ataques de Shamoon, hemos ajustado nuestros sensores para que busquen el mayor número de versiones posibles de este malware (porque, seamos sinceros, no queremos que NINGUNO de nuestros clientes tenga que enfrentarse NUNCA a un malware como Shamoon). Y logramos encontrar varias versiones (¡hurra!). Pero junto con nuestra captura, nuestros investigadores, de forma inesperada, captaron un tipo completamente nuevo de malware wiper al que apodamos StoneDrill.
El código base de StoneDrill es diferente del de Shamoon y, por ello, creemos que se trata de una familia de malware completamente nueva; además, utiliza algunas técnicas avanzadas que evitan la detección, cosa que Shamoon no hace. Por ello, seguro que es un nuevo jugador. Y una de las cosas más inusuales (y preocupantes) que hemos aprendido de este malware es que, a diferencia de Shamoon, StoneDrill no se limita a buscar víctimas en Arabia Saudí o países vecinos. Hasta ahora, hemos descubierto solo dos objetivos de este malware y uno de ellos está en Europa.
¿Por qué es preocupante? Porque este descubrimiento indica que ciertos actores maliciosos con ciberherramientas devastadoras están comprobando el terreno de las regiones que anteriormente eran de poco interés para este tipo de actores.
Así que este es mi consejo para las empresas europeas que pudieran ser de interés para los delincuentes de StoneDrill, o incluso Shamoon: preparad las defensas de vuestras redes para este tipo de amenazas. No es algo que pueda afectar solo a las empresas petroleras de Oriente Medio. Parece que será global.
Volviendo a la ciberpaleontología…
Antes he mencionado que descubrimos StoneDrill de forma inesperada mientras buscábamos muestras de Shamoon. Claro que fue inesperado, pero no accidental…
Para encontrar variantes nuevas o similares de malware conocido, nuestros investigadores (entre otras herramientas), utilizan reglas YARA. Una herramienta específica que permite configurar diferentes parámetros de búsqueda que se filtran con nuestras bases de datos de malware.
Traducir a lenguaje humano el proceso de caza de malware con las reglas YARA es como buscar una cara en concreto entre una multitud sin conocer dicha cara. Imagina que tienes un amigo por correspondencia y, tras años de e-mails, decidís conoceros (en una estación de tren abarrotada). Pero, como decidisteis no enviaros nunca una foto (no nos enviemos fotos, ¡será divertido/misterioso!), no conocéis la apariencia del otro; solo sabéis algunos detalles, como la edad, altura, composición corporal, color del pelo, color de los ojos y, quizá, el tipo de ropa que soléis llevar. Así que, en esa estación llena de gente, os podréis encontrar con alguien que concuerde con esas descripciones de los rasgos físicos del otro, pero no sabréis si es el otro hasta que empecéis a hablar.
Bueno, lo mismo sucedió con StoneDrill.
Nuestros investigadores identificaron algunos parámetros únicos de las últimas versiones de Shamoon. Basándose en dichos parámetros, nuestros chicos crearon algunas reglas YARA, iniciaron la búsqueda y analizaron los resultados. Luego, encontraron una muestra que coincidió con los parámetros de Shamoon; sin embargo, tras analizarla detenidamente, quedó claro que el nuevo malware encontrado no era Shamoon, sino una familia totalmente nueva de malware wiper.
De acuerdo con nuestro ejemplo de los amigos por correspondencia, esto significaría que identificaríais a otra persona que tiene los parámetros que concuerdan con vuestro amigo, pero no es él. Quizá es un familiar, ¿quién sabe?
¿Por qué estoy explicando esto?
Bueno, ¿recordáis la metáfora sobre la paleontología del principio? Esto es lo que he querido decir cuando escribí que a veces es imposible pillar a los monstruos nuevos si no conocemos a los de ayer. Vale la pena. Pero hay otra razón por la que quiero hablar de cómo pillamos a StoneDrill.
El hecho de que identificamos StoneDrill mientras buscábamos a Shamoon significa que ambos están diseñados y operan con un “estilo” muy parecido, aunque su código sea del todo diferente. Cuando digo “estilo”, me refiero a ciertos enfoques con los que el malware opera, se esconde de los software e investigadores de seguridad, etc. No es el tipo de parecido que se vería entre hermanos, sino el que encontrarías entre dos estudiantes que comparten profesor. O entre dos miembros del mismo club de amigos por correspondencia, si lo preferís.
En otras palabras, el parecido entre Shamoon y StoneDrill seguramente no sea una coincidencia. ¿Los ha escrito la misma persona? ¿Es StoneDrill una herramienta específica de los operadores de Shamoon? ¿O son dos bestias diferentes de dos delincuentes diferentes que han ido a las mismas escuelas de escritura de malware? No lo sabemos, todo es posible. Mientras tanto, seguimos investigando y presentaremos nuestros resultados en la próxima conferencia SAS.
Cuando nuestros chicos de GReAT investigaban el código de StoneDrill, empezaron a experimentar varios déjà vu: ¡ya habían visto muchas de esas líneas de código! ¿Dónde? En otra operación de ciberespionaje llamada Newsbeef (de la que hicimos una publicación el año pasado). Así pues, aquí tenemos otra variable de la ecuación: Newsbeef. ¿Es StoneDrill una herramienta que usan los operadores de Newsbeef con el fin de borrar datos? Repito, es una pregunta sin respuesta.
Si fuéramos expertos en geopolítica o filósofos, seguramente haríamos conjeturas según estas conexiones. Como una vez dijo Winnie the Pooh: “ese zumbido significa algo”.
Pero, por suerte, no somos expertos en geopolítica ni filósofos. Llevamos a cabo la difícil tarea de salvar el mundo de las ciberamenazas sin importar su origen o finalidad. La única razón por la que menciono las conexiones entre Shamoon, StoneDrill y Newsbeef es porque las hemos encontrado. Y, desde mi perspectiva, es una buena ilustración de la utilidad para las compañías o los gobiernos tener información profesional sobre amenazas para comprender lo que sucede. Ayuda a comprender. Y, cuando se comprenden las cosas, nos podemos preparar mejor contra sus riesgos.
Estad atentos, leed al detalle los descubrimientos de nuestros investigadores en Securelist y, si os interesa saber más sobre amenazas de la mano de profesionales, no dudéis en suscribiros a nuestros informes APT.
Ahora le cedo el turno a los autores del descubrimiento de StoneDrill: el análisis de los detalles técnicos se puede encontrar aquí.
P.D.:
Si queréis que vuestro equipo de seguridad pueda analizar malware tan profunda y profesionalmente como lo hace GReAT, enviadlos a nuestras sesiones de formación. La próxima tendrá lugar en la conferencia SAS-2017, a principios de abril; este año será en Sint-Maarten porque hace tiempo supimos que el Caribe es el mejor lugar para llevar a cabo charlas y formaciones sobre ciberseguridad. Reservadlo todo aquí y haced las maletas (¡bañador incluido!).
Consejos