Llegamos a ustedes gracias a:



Alertas de Seguridad

De Shamoon a StoneDrill

Se descubre un nuevo y avanzado malware destructivo

[09/03/2017] El Equipo de Investigación y Análisis Global de Kaspersky Lab ha descubierto un nuevo y avanzado malware del tipo wiper (borrado), denominado StoneDrill. Al igual que Shamoon, otro wiper de mala fama, StoneDrill destruye todo en la computadora infectada.

StoneDrill también cuenta con técnicas avanzadas para evitar su detección y con herramientas de espionaje en su arsenal. Además de los objetivos en el Medio Oriente, también se ha descubierto un objetivo de StoneDrill en Europa, donde los wipers que se utilizaron en el Medio Oriente no han sido vistos libremente con anterioridad.

"En el 2012, el wiper Shamoon (también conocido como Disttrack) llamó mucho la atención al inhabilitar alrededor de 35 mil computadoras en una empresa de petróleo y gas en el Medio Oriente. Este ataque devastador dejó al 10% del suministro mundial de petróleo potencialmente en peligro. Sin embargo, el incidente fue único en su especie y, después de ocurrir, el responsable prácticamente desapareció. A finales del 2016, sin embargo, regresó en forma de Shamoon 2.0, en una campaña maliciosa mucho más extensa que utilizaba una versión actualizada del malware de 2012, comentó Mohamad Amin Hasbini, investigador de seguridad senior del Equipo de Investigación y Análisis Global en Kaspersky Lab.

Mientras analizaban estos ataques, los investigadores de Kaspersky Lab encontraron inesperadamente un malware construido en un "estilo" similar al de Shamoon 2.0. Era, al mismo tiempo, muy diferente y más avanzado que Shamoon. Lo llamaron StoneDrill.

StoneDrill: Un wiper con conexiones

El analista señaló que todavía no se sabe cómo se propaga StoneDrill, pero una vez dentro de la máquina atacada, se inyecta en el proceso de memoria del navegador que esté utilizando el usuario. Durante este proceso, utiliza dos técnicas antiemulativas avanzadas cuya función es engañar a las soluciones de seguridad que se encuentran instaladas en la máquina víctima. El malware comienza entonces a destruir los archivos contenidos en el disco de la computadora.

Añadió que, hasta el momento, se han identificado al menos dos objetivos del wiper StoneDrill, uno basado en el Medio Oriente y el otro en Europa.

Además del módulo de wiping o borrado, los investigadores de Kaspersky Lab también han encontrado una puerta trasera de StoneDrill que aparentemente ha sido desarrollada por los mismos escritores de código, y usada para fines de espionaje. Los expertos descubrieron cuatro paneles de órdenes y control que fueron utilizados por los atacantes para ejecutar operaciones de espionaje contra una cantidad desconocida de objetivos con la ayuda de la puerta trasera de StoneDrill.

"Pero quizás lo más interesante de StoneDrill es que parece tener conexiones con otros wipers y operaciones de espionaje observados anteriormente. Cuando descubrimos StoneDrill con la ayuda de las reglas Yara creadas para identificar muestras desconocidas de Shamoon, nos dimos cuenta de que estábamos ante una pieza única de código malicioso que parece haber sido creada separadamente a partir de Shamoon. A pesar de que las dos familias -Shamoon y StoneDrill- no comparten exactamente el mismo código base, la mentalidad de los autores y su "estilo" de programación parecen ser similares.Es por eso que fue posible identificar a StoneDrill con las reglas Yara desarrolladas para Shamoon, anotó Hasbini.

Añadió que, también se observaron similitudes de código con otro malware conocido más antiguo, pero esta vez no entre Shamoon y StoneDrill. "En realidad, StoneDrill utiliza algunas partes del código visto en el NewsBeef APT, también conocido como Charming Kitten, otra campaña maliciosa que ha estado activa en los últimos años, indicó el analista.

Con el fin de proteger a las organizaciones contra estos ataques, los expertos en seguridad de Kaspersky Lab aconsejan lo siguiente:

* Realizar una evaluación de seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de brechas) para identificar y eliminar cualquier laguna de seguridad existente. Revisar las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.

* Solicitar inteligencia externa: la inteligencia proporcionada por vendedores acreditados ayuda a las organizaciones a predecir futuros ataques a la infraestructura industrial de la compañía.

* Capacitar a sus empleados, prestando especial atención al personal de operaciones y de ingeniería y al conocimiento que tengan acerca de amenazas y ataques recientes.

* Proporcionar protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y respuesta a ellos con el fin de bloquear un ataque antes de que llegue a objetos de importancia crítica.

* Evaluar métodos avanzados de protección: incluso verificaciones regulares de integridad para los controladores y control especializado de la red para aumentar la seguridad general de una empresa y reducir las posibilidades de ataques exitosos debido a fallos existentes, incluso si algunos nodos intrínsecamente vulnerables no pudieran ser corregidos o eliminados.