Kaspersky alerta para a descoberta de um novo malware destrutivo

Kaspersky alerta para a descoberta de um novo malware destrutivo

10 Março, 2017 0 Por Staline Satola

A equipa de análise e investigação da Kaspersky Lab (GREAT) conseguiu identificar um novo malware wiper de nome StoneDrill.

Semelhante a Shamoon, um wiper anterior, destrói todas as informações que se encontram no equipamento infetado. StoneDrill dispõe de avançadas técnicas anti deteção e espionagem. Para além dos seus objetivos no Médio Oriente, StoneDrill já foi identificado também na Europa, onde os wipers ainda não tinham surgido.

 

Em 2012, o wiper Shamoon (conhecido também como Disttrack) tornou-se famoso ao infetar cerca de 35.000 computadoras de una companha petrolífera do Médio Oriente. O ataque foi devastador e colocou em perigo cerca de 10% do fornecimento mundial de petróleo. No entanto, o incidente ocorreu apenas uma vez, e no final do ano passado foi detetada uma variante muito mais extensa que utiliza uma versão atualizada do malware de 2012 – Shamoon 2.0. Precisamente quando estavam a analisar estes ataques, os investigadores da Kaspersky Lab encontraram outro malware semelhante ao Shamoon 2.0 que, no entanto, era muito diferente e mais sofisticado, ao qual foi dado o nome de StoneDrill.

 

StoneDrill – um wiper com conexões

Não se sabe como se propaga o StoneDrill, mas, após entrar no equipamento infetado, o malware aloja-se no processador de memória do motor de busca preferido do utilizador. O StoneDrill utiliza duas técnicas sofisticadas de anti emulação com o objetivo de despistar as soluções de segurança instaladas no sistema da vítima, procedendo à destruição dos arquivos dos discos do equipamento. Até agora foram identificados dois casos do wiper StoneDrill, um no Médio Oriente e outro na Europa.

Juntamente com o módulo de eliminação, os analistas da Kaspersky Lab encontraram uma backdoor do StoneDrill que aparentemente foi desenvolvido pelos mesmos programadores e que é utilizado para espiar. Os especialistas descobriram quatro painéis de comando e controlo utilizados pelos atacantes para realizar operações de espionagem com a ajuda da backdoor contra um número desconhecido de alvos.

No entanto, o mais interessante do StoneDrill são as suas aparentes conexões com outros wipers e operações de espionagem que se verificaram anteriormente. Quando os investigadores da Kaspersky Lab descobriram o StoneDrill, graças à ajuda das regras Yara criadas para identificar amostras desconhecidas de Shamoon, deram-se conta de que estavam perante um objeto malicioso que parecia ter sido criado sem relação com Shamoon. E, apesar de ambas as famílias, Shamoon e StoneDrill, não partilharem o mesmo código base, o estilo de programação e os alvos dos autores são muito semelhantes. Isto facilitou a identificação do StoneDrill graças às regras Yara.

Também foi possível observar semelhanças com outros malwares anteriores, no entanto não entre Shamoon e StoneDrill. Aliás, StoneDrill utilizava alguns fragmentos do código encontrado na NewsBeef APT, também conhecido como Charming Kitten, outra campanha maliciosa muito ativa nos últimos anos.

 

 “Estamos muito intrigados pelas parecenças e comparações entre estas três operações. Será que o StoneDrill é fruto do mesmo sujeito por trás de Shamoon? Ou, quem sabe StoneDrill e Shamoon têm por trás dois grupos distintos e nenhuma conexão em comum mas pretendem ambos atacar entidades sauditas? Ou pertencem a dois grupos distintos perfeitamente alinhados nos seus objetivos? Provavelmente esta última possibilidade será a mais plausível uma vez que, enquanto o Shamoon inclui secções escritas em árabe, StoneDrill tem-nas em persa. Os analistas geopolíticos rapidamente comentariam que tanto o Irão como o Iémen são atores no conflito entre Irão e Arabia Saudita, e a Arabia Saudita é o país onde mais vítimas deste malware foram identificadas. No entanto, isto não exclui a possibilidade de que estes alvos sejam simplesmente iscos”, comenta Mohamad Amin Hasbini, analista sénior de segurança da equipa mundial de análise e investigação da Kaspersky Lab.

 

 

Para proteger adequadamente as organizações deste tipo de ataques, os especialistas de segurança da Kaspersky Lab recomendam o seguinte:

 

  • Que se realize um teste de segurança à rede de controlo (p. ex.: auditoria de segurança, teste de penetração, análise de anomalias), de forma a identificar e eliminar quaisquer falhas de segurança. Será necessário rever as políticas de segurança de terceiros e fornecedores externos que tenham acesso direto à rede de controlo;
  • Que se solicitem informações exteriores: os fabricantes ajudam as organizações com informações de forma a prevenir possíveis ataques futuros às infraestruturas industriais da empresa. Os equipamentos de resposta de emergência, como o ICS CERT da Kaspersky Lab, fornecem informação gratuita transversal a todos os mercados;
  • Que se aposte na formação de colaboradores, dedicando especial atenção aos equipamentos de engenharia e operações e ao conhecimento dos mais recentes ataques e ameaças;
  • Dispor da proteção adequada dentro e fora das instalações. Uma estratégia adequada de segurança precisa de recursos suficientes para detetar e responder a tempo aos ataques, antes que alcancem algum alvo importante;
  • Avaliar métodos avançados de proteção, incluindo verificações regulares de segurança para controladores e monitorização especializada de rede, que permitam aumentar a segurança global da empresa e reduzir as possibilidades de falha, incluindo se algum dos nós vulneráveis não pode ser reparado ou eliminado.

Para mais informações sobre Shamoon 2.0 e StoneDrill, recomenda-se a leitura do post disponível em Securelist.com. Os subscritores dos relatórios de inteligência da Kaspersky Lab têm à sua disposição documentos sobre Shamoon, StoneDrill e NewsBeef.