De Shamoon a StoneDrill: Kaspersky Lab identifica novo malware destrutivo

A equipa de análise e investigação da Kaspersky Lab (GREAT) conseguiu identificar um novo malware wiper de nome StoneDrill. Semelhante a Shamoon, um wiper anterior, destrói todas as informações que se encontram no equipamento infetado. StoneDrill dispõe de avançadas técnicas anti deteção e espionagem. Para além dos seus objetivos no Médio Oriente, StoneDrill já foi identificado também na Europa, onde os wipers ainda não tinham surgido.

Em 2012, o wiper Shamoon (conhecido também como Disttrack) tornou-se famoso ao infetar cerca de 35.000 computadoras de una companha petrolífera do Médio Oriente. O ataque foi devastador e colocou em perigo cerca de 10% do fornecimento mundial de petróleo. No entanto, o incidente ocorreu apenas uma vez, e no final do ano passado foi detetada uma variante muito mais extensa que utiliza uma versão atualizada do malware de 2012 – Shamoon 2.0. Precisamente quando estavam a analisar estes ataques, os investigadores da Kaspersky Lab encontraram outro malware semelhante ao Shamoon 2.0 que, no entanto, era muito diferente e mais sofisticado, ao qual foi dado o nome de StoneDrill.

StoneDrill – um wiper com conexões

Não se sabe como se propaga o StoneDrill, mas, após entrar no equipamento infetado, o malware aloja-se no processador de memória do motor de busca preferido do utilizador. O StoneDrill utiliza duas técnicas sofisticadas de anti emulação com o objetivo de despistar as soluções de segurança instaladas no sistema da vítima, procedendo à destruição dos arquivos dos discos do equipamento. Até agora foram identificados dois casos do wiper StoneDrill, um no Médio Oriente e outro na Europa.

Juntamente com o módulo de eliminação, os analistas da Kaspersky Lab encontraram uma backdoor do StoneDrill que aparentemente foi desenvolvido pelos mesmos programadores e que é utilizado para espiar. Os especialistas descobriram quatro painéis de comando e controlo utilizados pelos atacantes para realizar operações de espionagem com a ajuda da backdoor contra um número desconhecido de alvos.

No entanto, o mais interessante do StoneDrill são as suas aparentes conexões com outros wipers e operações de espionagem que se verificaram anteriormente. Quando os investigadores da Kaspersky Lab descobriram o StoneDrill, graças à ajuda das regras Yara criadas para identificar amostras desconhecidas de Shamoon, deram-se conta de que estavam perante um objeto malicioso que parecia ter sido criado sem relação com Shamoon. E, apesar de ambas as famílias, Shamoon e StoneDrill, não partilharem o mesmo código base, o estilo de programação e os alvos dos autores são muito semelhantes. Isto facilitou a identificação do StoneDrill graças às regras Yara.

Também foi possível observar semelhanças com outros malwares anteriores, no entanto não entre Shamoon e StoneDrill. Aliás, StoneDrill utilizava alguns fragmentos do código encontrado na NewsBeef APT, também conhecido como Charming Kitten, outra campanha maliciosa muito ativa nos últimos anos.

Para proteger adequadamente as organizações deste tipo de ataques, os especialistas de segurança da Kaspersky Lab recomendam o seguinte:

• Que se realize um teste de segurança à rede de controlo (p. ex.: auditoria de segurança, teste de penetração, análise de anomalias), de forma a identificar e eliminar quaisquer falhas de segurança. Será necessário rever as políticas de segurança de terceiros e fornecedores externos que tenham acesso direto à rede de controlo;
• Que se solicitem informações exteriores: os fabricantes ajudam as organizações com informações de forma a prevenir possíveis ataques futuros às infraestruturas industriais da empresa. Os equipamentos de resposta de emergência, como o ICS CERT da Kaspersky Lab, fornecem informação gratuita transversal a todos os mercados;
• Que se aposte na formação de colaboradores, dedicando especial atenção aos equipamentos de engenharia e operações e ao conhecimento dos mais recentes ataques e ameaças;
• Dispor da proteção adequada dentro e fora das instalações. Uma estratégia adequada de segurança precisa de recursos suficientes para detetar e responder a tempo aos ataques, antes que alcancem algum alvo importante;
• Avaliar métodos avançados de proteção, incluindo verificações regulares de segurança para controladores e monitorização especializada de rede, que permitam aumentar a segurança global da empresa e reduzir as possibilidades de falha, incluindo se algum dos nós vulneráveis não pode ser reparado ou eliminado.

Este artigo é um comunicado de imprensa da Kaspersky Lab