Noticias y Nuevos Productos

StoneDrill: un nuevo malware destructivo

StoneDrill StoneDrill

El Equipo de Investigación y Análisis Global de Kaspersky Lab ha descubierto un nuevo y avanzado malware del tipo wiper, denominado StoneDrill. Al igual que Shamoon, otro wiper con mala fama, StoneDrill destruye todo en la computadora infectada. StoneDrill también cuenta con técnicas avanzadas para evitar su detección y con herramientas de espionaje. Además de los objetivos en el Medio Oriente, también se ha descubierto un objetivo de StoneDrill en Europa, donde los wipers que se utilizaron en el Medio Oriente no habían sido vistos.

En 2012, el wiper Shamoon (también conocido como Disttrack) llamó mucho la atención al inhabilitar alrededor de 35 mil computadoras en una empresa de petróleo y gas en el Medio Oriente. Fue un ataque devastador que dejó en peligro a 10% del suministro mundial de petróleo. Sin embargo, el incidente fue único en su especie y, después de ocurrir, el responsable prácticamente desapareció. Sin embargo,  regresó a finales de 2016 en forma de Shamoon 2.0, en una campaña maliciosa mucho más extensa que utilizaba una versión actualizada del malware de 2012.

 

Mientras analizaban estos ataques, los investigadores de Kaspersky Lab encontraron inesperadamente un malware construido en un “estilo” similar al de Shamoon 2.0. Era, al mismo tiempo, muy diferente y más avanzado que Shamoon. Lo llamaron StoneDrill.

 

StoneDrill, un wiper con conexiones

Todavía no se sabe cómo se propaga StoneDrill, pero una vez dentro de la máquina atacada se inyecta en el proceso de memoria del navegador que esté utilizando el usuario. Durante este proceso, emplea dos técnicas anti emulación avanzadas cuya función es engañar a las soluciones de seguridad que se encuentran instaladas en la máquina víctima. El malware comienza entonces a destruir los archivos contenidos en el disco de la computadora.

 

Hasta el momento, se han identificado al menos dos objetivos del wiper StoneDrill, uno basado en el Medio Oriente y el otro en Europa.

 

Además del módulo de wiping o borrado, los investigadores de Kaspersky Lab también han encontrado una puerta trasera de StoneDrill, que aparentemente ha sido desarrollada por los mismos escritores de código y usada para fines de espionaje. Los expertos descubrieron cuatro paneles de órdenes y control que fueron utilizados por los atacantes para ejecutar operaciones de espionaje contra una cantidad desconocida de objetivos con la ayuda de la puerta trasera de StoneDrill.

 

Pero quizás lo más interesante de StoneDrill es que parece tener conexiones con otros wipers y operaciones de espionaje observados anteriormente. Cuando los investigadores de Kaspersky Lab descubrieron StoneDrill con la ayuda de las reglas Yara creadas para identificar muestras desconocidas de Shamoon, se dieron cuenta de que estaban ante una pieza única de código malicioso que parece haber sido creada de manera separada a partir de Shamoon. A pesar de que las dos familias –Shamoon y StoneDrill– no comparten exactamente el mismo código base, la mentalidad de los autores y su “estilo” de programación parecen ser similares.  Es por eso que fue posible identificar a StoneDrill con las reglas Yara desarrolladas para Shamoon.

 

También se observaron similitudes de código con otro malware más antiguo, pero esta vez no entre Shamoon y StoneDrill. En realidad, StoneDrill utiliza algunas partes del código visto en el NewsBeef APT, también conocido como Charming Kitten, otra campaña maliciosa que ha estado activa en los últimos años.

 

“Nos quedamos muy intrigados por las similitudes y las comparaciones entre estas tres operaciones maliciosas. ¿Era StoneDrill otro wiper desplegado por el responsable de Shamoon? ¿O son StoneDrill y Shamoon dos grupos diferentes y desconectados que atacaron organizaciones saudíes al mismo tiempo? O, ¿dos grupos que están separados, pero alineados en sus objetivos? Esta última teoría es la más probable: cuando se trata de artefactos podemos decir que mientras Shamoon se infiltra en secciones de recursos lingüísticos árabes-yemenitas, StoneDrill lo hace principalmente en secciones de recursos de la lengua persa. Los analistas de la geopolítica probablemente señalarían sin demora que tanto Irán como Yemen son actores en el conflicto que enfrenta a Irán y Arabia Saudita y, Arabia Saudita es el país donde se encontró la mayoría de las víctimas de estas operaciones. Pero, por supuesto, no excluimos la posibilidad de que estos artefactos tuvieran identificaciones falsas”, dijo Mohamad Amin Hasbini, investigador de seguridad sénior, del Equipo de Investigación y Análisis Global en Kaspersky Lab.

 

Los productos de Kaspersky Lab detectan y bloquean el malware relacionado con Shamoon, StoneDrill y NewsBeef.

 

Con el fin de proteger a las organizaciones contra estos ataques, los expertos en seguridad de Kaspersky Lab aconsejan lo siguiente:

 

  • Realizar una evaluación de seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de brechas) para identificar y eliminar cualquier laguna de seguridad existente. Revisar las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.

 

  • Solicitar inteligencia externa: la inteligencia proporcionada por vendedores acreditados ayuda a las organizaciones a predecir futuros ataques a la infraestructura industrial de la compañía. Los equipos de respuesta a emergencias, como el ICS CERT, de Kaspersky Lab, proporcionan inteligencia de forma gratuita para cualquier industria.

 

  • Capacitar a sus empleados, prestando especial atención al personal de operaciones y de ingeniería y al conocimiento que tengan acerca de amenazas y ataques recientes.

 

  • Proporcionar protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y respuesta a ellos con el fin de bloquear un ataque antes de que llegue a objetos de importancia crítica.

 

  • Evaluar métodos avanzados de protección: incluso verificaciones regulares de integridad para los controladores y control especializado de la red para aumentar la seguridad general de una empresa y reducir las posibilidades de ataques exitosos debido a fallos existentes, incluso si algunos nodos intrínsecamente vulnerables no pudieran ser corregidos o eliminados.

 

Para obtener más información acerca de Shamoon 2.0 y StoneDrill, lea el artículo en español disponible en https://securelist.lat/blog/investigacion/84737/from-shamoon-to-stonedrill/. Para saber más sobre ataques de Shamoon anteriormente descubiertos: lea aquí.

2 Comments

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>