De Shamoon a StoneDrill: nuevo malware destructivo avanzado descubierto en la naturaleza

0 78 3 minutos de lectura

El equipo de análisis e investigación global de Kaspersky Lab ha descubierto un nuevo y sofisticado software malicioso de limpieza, llamado StoneDrill. Al igual que otro limpiador infame, Shamoon, destruye todo en la computadora infectada. StoneDrill también cuenta con técnicas avanzadas de anti-detección y herramientas de espionaje en su arsenal. Además de los objetivos en el Medio Oriente, también se ha descubierto un objetivo StoneDrill en Europa, donde los limpiaparabrisas utilizados en el Medio Oriente no se han visto previamente en la naturaleza.
En 2012, el Shamoon (también conocido como Disttrack) hizo mucho ruido al quitar alrededor de 35,000 computadoras en una compañía de petróleo y gas en el Medio Oriente. Este devastador ataque dejó el 10 por ciento del suministro mundial de petróleo potencialmente en riesgo. Sin embargo, el incidente fue único en su tipo, y después de él, el actor esencialmente se quedó sin luz. A finales de 2016 volvió en forma de Shamoon 2.0, una campaña maliciosa mucho más extensa que utiliza una versión muy actualizada del malware de 2012.
Mientras exploraban estos ataques, los investigadores de Kaspersky Lab encontraron inesperadamente un malware que se construyó con un «estilo» similar al de Shamoon 2.0. Al mismo tiempo, era muy diferente y más sofisticado que Shamoon. Lo llamaron StoneDrill.
StoneDrill: un limpiaparabrisas con conexiones
Aún no se sabe cómo se propaga StoneDrill, pero una vez en la máquina atacada, se inyecta en el proceso de memoria del navegador preferido del usuario. Durante este proceso, utiliza dos sofisticadas técnicas anti-emulación destinadas a engañar a las soluciones de seguridad instaladas en la máquina víctima. Luego, el malware comienza a destruir los archivos de disco de la computadora.
Hasta ahora, se han identificado al menos dos objetivos del limpiaparabrisas StoneDrill, uno en Oriente Medio y el otro en Europa.
Además del módulo de borrado, los investigadores de Kaspersky Lab también han encontrado una puerta trasera StoneDrill, que aparentemente ha sido desarrollada por los mismos escritores de código y utilizada con fines de espionaje. Los expertos descubrieron cuatro paneles de comando y control que fueron utilizados por los atacantes para ejecutar operaciones de espionaje con la ayuda de la puerta trasera StoneDrill contra un número desconocido de objetivos.
Quizás lo más interesante de StoneDrill es que parece tener conexiones con varios limpiaparabrisas y operaciones de espionaje observadas anteriormente. Cuando los investigadores de Kaspersky Lab descubrieron StoneDrill con la ayuda de Yara-rules creadas para identificar muestras desconocidas de Shamoon, se dieron cuenta de que estaban viendo una pieza única de código malicioso que parece haber sido creado por separado de Shamoon. Aunque las dos familias, Shamoon y StoneDrill, no comparten exactamente la misma base de código, la mentalidad de los autores y su “estilo” de programación parecen ser similares. Es por eso que fue posible identificar StoneDrill con las reglas de Yara desarrolladas por Shamoon.
También se observaron similitudes de código con malware conocido más antiguo, pero esta vez no entre Shamoon y StoneDrill. De hecho, StoneDrill usa algunas partes del código previamente detectadas en el Noticias Beef APT, también conocida como Charming Kitten, otra campaña maliciosa que ha estado activa en los últimos años.
«Nos intrigaron mucho las similitudes y comparaciones entre estas tres operaciones maliciosas. ¿StoneDrill fue otro limpiaparabrisas desplegado por el actor de Shamoon? ¿O StoneDrill y Shamoon son dos grupos diferentes y no conectados? que acaba de apuntar a organizaciones sauditas al mismo tiempo? ¿O dos grupos separados pero alineados en sus objetivos? La última teoría es la más probable: cuando se trata de artefactos, podemos decir que mientras Shamoon incorpora secciones de lenguaje de recursos árabe-yemení, StoneDrill incorpora principalmente secciones de lenguaje de recursos persa. Los analistas geopolíticos probablemente se apresuren a señalar que tanto Irán como Yemen son actores en el conflicto de poder entre Irán y Arabia Saudita, y Arabia Saudita es el país donde se encontraron la mayoría de las víctimas de estas operaciones. Pero, por supuesto, no excluimos la posibilidad de que estos artefactos sean banderas falsas,»
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware relacionado con Shamoon, StoneDrill y NewsBeef.
Para proteger a las organizaciones de estos ataques, los expertos en seguridad de Kaspersky Lab recomiendan lo siguiente:

Realice una evaluación de seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de brechas) para identificar y eliminar las lagunas de seguridad. Revise las políticas de seguridad de proveedores externos y terceros en caso de que tengan acceso directo a la red de control.

Solicite inteligencia externa: la inteligencia de proveedores acreditados ayuda a las organizaciones a predecir futuros ataques a la infraestructura industrial de la empresa. Equipos de respuesta a emergencias, como Kaspersky Lab ICS CERT, proporciona información de inteligencia entre industrias de forma gratuita.

Capacite a sus empleados, prestando especial atención al personal operativo y de ingeniería y su conocimiento de las amenazas y ataques recientes.

Brindar protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada debe dedicar importantes recursos a la detección y respuesta de ataques para bloquear un ataque antes de que llegue a objetos de importancia crítica.

Evalúe métodos avanzados de protección: incluidas comprobaciones periódicas de la integridad de los controladores y supervisión de red especializada para aumentar la seguridad general de una empresa y reducir las posibilidades de una infracción exitosa, incluso si algunos nodos intrínsecamente vulnerables no se pueden parchear o eliminar.

Para obtener más información sobre Shamoon 2.0 y StoneDrill, lea la publicación del blog disponible en Securelist.com. Para obtener más información sobre los ataques de Shamoon previamente descubiertos: lea más aquí.

De Shamoon a StoneDrill: nuevo malware destructivo avanzado descubierto en la naturaleza

Deja una respuesta Cancelar la respuesta

Los agujeros en la implementación de parches de Android significan que los proveedores de aplicaciones deben hacerse cargo de la seguridad

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

BitSight presenta Peer Analytics para una gestión del rendimiento de seguridad más eficaz.

Los trabajadores de oficina del Reino Unido «confían demasiado» en los archivos adjuntos de correo electrónico

Los equipos de TI están luchando con los desafíos de infraestructura de red causados ​​por la nube.

Los certificados de prueba COVID-19 falsos representan un riesgo para los viajes aéreos

Deja una respuesta Cancelar la respuesta

Los agujeros en la implementación de parches de Android significan que los proveedores de aplicaciones deben hacerse cargo de la seguridad

Los equipos de TI están luchando con los desafíos de infraestructura de red causados por la nube.