De Shamoon a StoneDrill: se descubre un nuevo y avanzado malware destructivo en la naturaleza

El Equipo de Investigación y Análisis Global de Kaspersky Lab ha descubierto un nuevo y sofisticado malware wiper, llamado StoneDrill. Al igual que otro infame wiper, Shamoon, destruye todo en el ordenador infectado. StoneDrill también cuenta con técnicas avanzadas de antidetección y herramientas de espionaje en su arsenal. Además de los objetivos en Oriente Medio, también se ha descubierto un objetivo de StoneDrill en Europa, donde los wipers utilizados en Oriente Medio no han sido vistos previamente en la naturaleza.
En 2012, el Shamoon (también conocido como Disttrack) hizo mucho ruido al derribar unos 35.000 ordenadores de una empresa de petróleo y gas en Oriente Medio. Este devastador ataque dejó en riesgo potencial el 10% del suministro mundial de petróleo. Sin embargo, el incidente fue único, y después de él el actor esencialmente se oscureció. A finales de 2016 regresó en forma de Shamoon 2.0, una campaña maliciosa mucho más amplia que utiliza una versión muy actualizada del malware de 2012.
Mientras exploraban estos ataques, los investigadores de Kaspersky Lab encontraron inesperadamente un malware construido con un «estilo» similar al de Shamoon 2.0. Al mismo tiempo, era muy diferente y más sofisticado que Shamoon. Lo llamaron StoneDrill.
StoneDrill: un limpiaparabrisas con conexiones
Todavía no se sabe cómo se propaga StoneDrill, pero una vez en la máquina atacada se inyecta en el proceso de memoria del navegador preferido del usuario. Durante este proceso utiliza dos sofisticadas técnicas antiemulación destinadas a engañar a las soluciones de seguridad instaladas en la máquina víctima. A continuación, el malware comienza a destruir los archivos de disco del ordenador.
Hasta ahora, se han identificado al menos dos objetivos del limpiador StoneDrill, uno basado en Oriente Medio y otro en Europa.
Además del módulo de borrado, los investigadores de Kaspersky Lab también han encontrado un backdoor de StoneDrill, que aparentemente ha sido desarrollado por los mismos creadores de código y utilizado con fines de espionaje. Los expertos descubrieron cuatro paneles de comando y control que fueron utilizados por los atacantes para ejecutar operaciones de espionaje con ayuda del backdoor StoneDrill contra un número desconocido de objetivos.
Tal vez lo más interesante de StoneDrill es que parece tener conexiones con varios otros wipers y operaciones de espionaje observados anteriormente. Cuando los investigadores de Kaspersky Lab descubrieron StoneDrill con la ayuda de las reglas Yara creadas para identificar muestras desconocidas de Shamoon, se dieron cuenta de que estaban ante una pieza única de código malicioso que parece haber sido creada por separado de Shamoon. Aunque las dos familias -Shamoon y StoneDrill- no comparten exactamente la misma base de código, la mentalidad de los autores y su «estilo» de programación parecen ser similares. Por eso fue posible identificar StoneDrill con las reglas Yara desarrolladas por Shamoon.
También se observaron similitudes de código con otros malware conocidos más antiguos, pero esta vez no entre Shamoon y StoneDrill. De hecho, StoneDrill utiliza algunas partes del código previamente detectado en el NewsBeef APT, también conocido como Charming Kitten – otra campaña maliciosa que ha estado activa en los últimos años.
«Nos intrigaron mucho las similitudes y comparaciones entre estas tres operaciones maliciosas. ¿Era StoneDrill otro limpiador desplegado por el actor Shamoon? ¿O son StoneDrill y Shamoon dos grupos diferentes e inconexos que por casualidad han atacado a organizaciones saudíes al mismo tiempo? O bien, ¿son dos grupos separados pero alineados en sus objetivos? Esta última teoría es la más probable: en lo que respecta a los artefactos, podemos decir que mientras Shamoon incorpora secciones de recursos en árabe yemení, StoneDrill incorpora principalmente secciones de recursos en persa. Los analistas geopolíticos probablemente se apresurarían a señalar que tanto Irán como Yemen son actores en el conflicto por poderes entre Irán y Arabia Saudí, y que Arabia Saudí es el país donde se encontraron la mayoría de las víctimas de estas operaciones. Pero, por supuesto, no excluimos la posibilidad de que estos artefactos sean falsas banderas,»
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware relacionado con Shamoon, StoneDrill y NewsBeef.
Para proteger a las organizaciones de estos ataques, los expertos en seguridad de Kaspersky Lab aconsejan lo siguiente:

  • Realizar una evaluación de la seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de deficiencias) para identificar y eliminar cualquier laguna de seguridad. Revisar las políticas de seguridad de los proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.
  • Solicitar inteligencia externa: la inteligencia de proveedores de confianza ayuda a las organizaciones a predecir futuros ataques a la infraestructura industrial de la empresa. Los equipos de respuesta a emergencias, como el de Kaspersky Lab ICS CERT, proporcionan gratuitamente cierta información interprofesional.
  • Forme a sus empleados, prestando especial atención al personal operativo y de ingeniería y a su conocimiento de las amenazas y ataques recientes.
  • Proporcione protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección y respuesta a los ataques para bloquear un ataque antes de que llegue a los objetos de importancia crítica.
  • Evaluar métodos avanzados de protección: incluyendo comprobaciones periódicas de la integridad de los controladores y una supervisión especializada de la red para aumentar la seguridad general de la empresa y reducir las posibilidades de que se produzca una brecha, aunque no se puedan parchear o eliminar algunos nodos intrínsecamente vulnerables.

Para obtener más información sobre Shamoon 2.0 y StoneDrill, lea la entrada del blog disponible en Securelist.com. Para conocer los ataques Shamoon descubiertos anteriormente: leer más aquí.