Malware gratuito avan├žado e destrutivo StoneDrill na Internet

A equipe de pesquisa e an├ílise global da Kaspersky Lab descobriu um novo e sofisticado limpador (malware que exclui arquivos), chamado StoneDrill. Assim como outro limpador infame, Shamoon destr├│i tudo em um computador “contaminado”. O StoneDrill tamb├ęm possui t├ęcnicas avan├žadas de detec├ž├úo e ferramentas de espionagem em seu arsenal.

Al├ęm dos alvos no Oriente M├ędio, um alvo StoneDrill tamb├ęm foi descoberto na Europa, onde os limpadores usados ÔÇőÔÇőno Oriente M├ędio ainda n├úo haviam sido detectados em estado livre.

Em 2012, o limpador Shamoon (tamb├ęm conhecido como Disttrack) chamou a aten├ž├úo, destruindo cerca de 35.000 computadores em uma empresa de petr├│leo e g├ís no Oriente M├ędio. Esse ataque devastador deixou 10% do suprimento mundial de petr├│leo em risco potencial. No entanto, o incidente foi ├║nico em seu tipo, ap├│s o qual a ag├¬ncia interrompeu as opera├ž├Áes. No final de 2016, ele retornou na forma do Shamoon 2.0 – uma campanha maliciosa muito mais extensa que usa uma vers├úo “fortemente” atualizada de malware desde 2012.StoneDrill

Investigando os ataques, os pesquisadores da Kaspersky Lab detectaram inesperadamente malware com estilo semelhante ao Shamoon 2.0. Ao mesmo tempo, era muito diferente e mais avan├žado que Shamoon. Eles o chamaram de StoneDrill.

StoneDrill – 1 limpador com interfaces

Ainda n├úo se sabe como o StoneDrill se espalha, mas, uma vez que ataca o dispositivo de destino, ele se injeta no sistema de grava├ž├úo de mem├│ria do usu├írio do navegador selecionado. Durante esse processo, ele usa duas t├ęcnicas avan├žadas de contra-simula├ž├úo para enganar as solu├ž├Áes de seguran├ža instaladas no computador da v├ştima. O software malicioso come├ža a destruir os arquivos do disco do computador.

At├ę o momento, foram identificados pelo menos dois alvos do limpador StoneDrill, um baseado no Oriente M├ędio e outro na Europa.

Al├ęm de excluir arquivos, os pesquisadores da Kaspersky Lab tamb├ęm identificaram um backdoor StoneDrill que parece ter sido desenvolvido pelos criadores do pr├│prio c├│digo e est├í sendo usado para fins de espionagem. Especialistas descobriram quatro tabelas de comando e controle usadas pelos invasores para executar opera├ž├Áes de espionagem com a ajuda do backdoor do StoneDrill contra um n├║mero desconhecido de alvos.

Talvez o fato mais interessante sobre o StoneDrill seja que ele parece estar vinculado a muitos outros limpadores e atividades de espionagem observados no passado. Quando os pesquisadores da Kaspersky Lab descobriram o StoneDrill com a ajuda das regras da Yara criadas para detectar amostras desconhecidas do Shamoon, eles perceberam que estavam procurando por um peda├žo ├║nico de c├│digo malicioso que parece ter sido criado separadamente do Shamoon. Mesmo que as duas fam├şlias – Shamoon e StoneDrill – n├úo compartilhem exatamente a mesma base de c├│digo, a mentalidade de seus criadores e os estilos de programa├ž├úo parecem semelhantes. Por esse motivo, foi poss├şvel localizar o StoneDrill com as regras Yara desenvolvidas para o Shamoon.

Tamb├ęm foram observadas semelhan├žas no c├│digo com malware anteriormente conhecido, mas desta vez n├úo entre Shamoon e StoneDrill. De fato, o StoneDrill usa alguns trechos de c├│digo identificados anteriormente no NewsBeef APT, tamb├ęm conhecido como Charming Kitten, outra campanha de malware de alto perfil nos ├║ltimos anos.

“Nosso interesse pelas semelhan├žas e compara├ž├Áes entre essas tr├¬s atividades maliciosas foi muito grande. O StoneDrill foi outro programa malicioso que exclui arquivos desenvolvidos pelo agente Shamoon? Ou o StoneDrill e o Shamoon s├úo dois grupos diferentes e independentes que, por acaso, visavam organiza├ž├Áes na Ar├íbia Saudita ao mesmo tempo? Ou dois grupos separados, mas alinhados em termos de objetivos? A ├║ltima teoria ├ę a mais prov├ível: em rela├ž├úo ├ás descobertas, podemos dizer que, embora o Shamoon incorpore se├ž├Áes ling├╝├şsticas de fontes ├írabes, bem como fontes do I├¬men, o StoneDrill incorpora principalmente se├ž├Áes ling├╝├şsticas de fontes em l├şngua persa. Analistas geopol├şticos provavelmente apontariam rapidamente que o Ir├ú e o I├¬men s├úo atores na “guerra por meio de representantes” entre o Ir├ú e a Ar├íbia Saudita, e a Ar├íbia Saudita ├ę o pa├şs onde a maioria das v├ştimas foi encontrada. Mas ├ę claro que n├úo descartamos a possibilidade de que essas descobertas sejam “falsas bandeiras”, disse David Emm, pesquisador s├¬nior de seguran├ža da Kaspersky Lab.

Para proteger as organiza├ž├Áes de tais ataques, seus especialistas em seguran├ža Kaspersky Lab aconselhe o seguinte:

  • Realize uma avalia├ž├úo de seguran├ža da rede de controle (ou seja, uma verifica├ž├úo de seguran├ža, testes de penetra├ž├úo, an├ílise de v├ícuo) para identificar e remover quaisquer falhas de seguran├ža. Tamb├ęm ├ę recomend├ível revisar fornecedores externos e pol├şticas de seguran├ža se eles tiverem acesso direto ├á rede de controle.
  • Solicitar informa├ž├Áes externas: as informa├ž├Áes de fornecedores respeit├íveis ÔÇőÔÇőajudam as organiza├ž├Áes a antecipar futuros ataques ├á infraestrutura industrial da empresa. As equipes de gerenciamento de emerg├¬ncias, como a equipe ICS CERT da Kaspersky Lab, fornecem informa├ž├Áes profissionais gratuitamente.
  • Treine seus funcion├írios, prestando muita aten├ž├úo ├á equipe operacional e t├ęcnica e aumentando a conscientiza├ž├úo sobre amea├žas e ataques recentes.
  • Forne├ža prote├ž├úo dentro e fora do per├şmetro. Uma estrat├ęgia de seguran├ža adequada deve ter recursos significativos para detectar ataques e rea├ž├Áes, a fim de impedir um ataque antes que ele atinja objetos particularmente importantes e cr├şticos.
  • Avalie m├ętodos avan├žados de prote├ž├úo: incluindo verifica├ž├Áes regulares de integridade para auditores, bem como monitoramento especializado de rede para aumentar a seguran├ža geral da empresa e reduzir as chances de uma viola├ž├úo bem-sucedida, mesmo que alguns n├│s inerentemente vulner├íveis ÔÇőÔÇőn├úo possam removido.
  • Para mais informa├ž├Áes sobre Shamoon 2.0 e StoneDrill, voc├¬ pode ler o post do blog dispon├şvel no site especial da Securelist.com. Mais informa├ž├Áes sobre ataques Shamoon podem ser encontradas aqui.