Malware gratuito avançado e destrutivo StoneDrill na Internet

A equipe de pesquisa e análise global da Kaspersky Lab descobriu um novo e sofisticado limpador (malware que exclui arquivos), chamado StoneDrill. Assim como outro limpador infame, Shamoon destrói tudo em um computador “contaminado”. O StoneDrill também possui técnicas avançadas de detecção e ferramentas de espionagem em seu arsenal.

Além dos alvos no Oriente Médio, um alvo StoneDrill também foi descoberto na Europa, onde os limpadores usados ​​no Oriente Médio ainda não haviam sido detectados em estado livre.

Em 2012, o limpador Shamoon (também conhecido como Disttrack) chamou a atenção, destruindo cerca de 35.000 computadores em uma empresa de petróleo e gás no Oriente Médio. Esse ataque devastador deixou 10% do suprimento mundial de petróleo em risco potencial. No entanto, o incidente foi único em seu tipo, após o qual a agência interrompeu as operações. No final de 2016, ele retornou na forma do Shamoon 2.0 – uma campanha maliciosa muito mais extensa que usa uma versão “fortemente” atualizada de malware desde 2012.StoneDrill

Investigando os ataques, os pesquisadores da Kaspersky Lab detectaram inesperadamente malware com estilo semelhante ao Shamoon 2.0. Ao mesmo tempo, era muito diferente e mais avançado que Shamoon. Eles o chamaram de StoneDrill.

StoneDrill – 1 limpador com interfaces

Ainda não se sabe como o StoneDrill se espalha, mas, uma vez que ataca o dispositivo de destino, ele se injeta no sistema de gravação de memória do usuário do navegador selecionado. Durante esse processo, ele usa duas técnicas avançadas de contra-simulação para enganar as soluções de segurança instaladas no computador da vítima. O software malicioso começa a destruir os arquivos do disco do computador.

Até o momento, foram identificados pelo menos dois alvos do limpador StoneDrill, um baseado no Oriente Médio e outro na Europa.

Além de excluir arquivos, os pesquisadores da Kaspersky Lab também identificaram um backdoor StoneDrill que parece ter sido desenvolvido pelos criadores do próprio código e está sendo usado para fins de espionagem. Especialistas descobriram quatro tabelas de comando e controle usadas pelos invasores para executar operações de espionagem com a ajuda do backdoor do StoneDrill contra um número desconhecido de alvos.

Talvez o fato mais interessante sobre o StoneDrill seja que ele parece estar vinculado a muitos outros limpadores e atividades de espionagem observados no passado. Quando os pesquisadores da Kaspersky Lab descobriram o StoneDrill com a ajuda das regras da Yara criadas para detectar amostras desconhecidas do Shamoon, eles perceberam que estavam procurando por um pedaço único de código malicioso que parece ter sido criado separadamente do Shamoon. Mesmo que as duas famílias – Shamoon e StoneDrill – não compartilhem exatamente a mesma base de código, a mentalidade de seus criadores e os estilos de programação parecem semelhantes. Por esse motivo, foi possível localizar o StoneDrill com as regras Yara desenvolvidas para o Shamoon.

Também foram observadas semelhanças no código com malware anteriormente conhecido, mas desta vez não entre Shamoon e StoneDrill. De fato, o StoneDrill usa alguns trechos de código identificados anteriormente no NewsBeef APT, também conhecido como Charming Kitten, outra campanha de malware de alto perfil nos últimos anos.

“Nosso interesse pelas semelhanças e comparações entre essas três atividades maliciosas foi muito grande. O StoneDrill foi outro programa malicioso que exclui arquivos desenvolvidos pelo agente Shamoon? Ou o StoneDrill e o Shamoon são dois grupos diferentes e independentes que, por acaso, visavam organizações na Arábia Saudita ao mesmo tempo? Ou dois grupos separados, mas alinhados em termos de objetivos? A última teoria é a mais provável: em relação às descobertas, podemos dizer que, embora o Shamoon incorpore seções lingüísticas de fontes árabes, bem como fontes do Iêmen, o StoneDrill incorpora principalmente seções lingüísticas de fontes em língua persa. Analistas geopolíticos provavelmente apontariam rapidamente que o Irã e o Iêmen são atores na “guerra por meio de representantes” entre o Irã e a Arábia Saudita, e a Arábia Saudita é o país onde a maioria das vítimas foi encontrada. Mas é claro que não descartamos a possibilidade de que essas descobertas sejam “falsas bandeiras”, disse David Emm, pesquisador sênior de segurança da Kaspersky Lab.

Para proteger as organizações de tais ataques, seus especialistas em segurança Kaspersky Lab aconselhe o seguinte:

  • Realize uma avaliação de segurança da rede de controle (ou seja, uma verificação de segurança, testes de penetração, análise de vácuo) para identificar e remover quaisquer falhas de segurança. Também é recomendável revisar fornecedores externos e políticas de segurança se eles tiverem acesso direto à rede de controle.
  • Solicitar informações externas: as informações de fornecedores respeitáveis ​​ajudam as organizações a antecipar futuros ataques à infraestrutura industrial da empresa. As equipes de gerenciamento de emergências, como a equipe ICS CERT da Kaspersky Lab, fornecem informações profissionais gratuitamente.
  • Treine seus funcionários, prestando muita atenção à equipe operacional e técnica e aumentando a conscientização sobre ameaças e ataques recentes.
  • Forneça proteção dentro e fora do perímetro. Uma estratégia de segurança adequada deve ter recursos significativos para detectar ataques e reações, a fim de impedir um ataque antes que ele atinja objetos particularmente importantes e críticos.
  • Avalie métodos avançados de proteção: incluindo verificações regulares de integridade para auditores, bem como monitoramento especializado de rede para aumentar a segurança geral da empresa e reduzir as chances de uma violação bem-sucedida, mesmo que alguns nós inerentemente vulneráveis ​​não possam removido.

    • Para mais informações sobre Shamoon 2.0 e StoneDrill, você pode ler o post do blog disponível no site especial da Securelist.com. Mais informações sobre ataques Shamoon podem ser encontradas aqui.

    RELATED ARTICLESMORE FROM AUTHOR