Lo más probable es que algunos de ustedes conozcan a los llamados wipers, un tipo de malware que una vez se instala en la computadora atacada, va a eliminar por completo toda la información que contiene la misma, dejando a su propietario con solamente un hardware de apenas utilidad.

A partir de Noviembre del 2016, Kaspersky Lab observó una nueva ola de ataques de malware tipo wiper dirigidos a múltiples objetivos en el Medio Oriente. El malware utilizado en los nuevos ataques fue una variante del infame gusano Shamoon que atacó a las compañias Saudi Aramco y Rasgas en el año 2012.

Durmiente durante cuatro años, uno de los wipers más misteriosos de la historia ha regresado.

Hasta ahora, han observado tres olas de ataques del malware Shamoon 2.0, activado el 17 de Noviembre del 2016, el 29 de Noviembre del 2016 y el 23 de Enero del 2017.

También conocido como Disttrack, Shamoon es una familia de malware altamente destructiva que limpia eficazmente la máquina víctima. Un grupo conocido como “Cutting Sword of Justice” (La Espada Cortante de la Justicia) tomó el crédito para el ataque de Saudi Aramco fijando un mensaje de Pastebin el día del ataque (en 2012), y justificó el ataque como una medida contra la monarquía saudí.

Los ataques Shamoon 2.0 vistos en Noviembre del 2016 apuntaron a organizaciones en varios sectores críticos y económicos en Arabia Saudita. Al igual que la variante anterior, el wiper Shamoon 2.0 tiene como objetivo la destrucción masiva de sistemas dentro de organizaciones comprometidas.

Los nuevos ataques comparten muchas similitudes con la ola del año 2012 y ahora cuentan con nuevas herramientas y técnicas. Durante la primera etapa, los atacantes obtienen credenciales de administrador para la red de la víctima. A continuación, construyen un wiper personalizado (Shamoon 2.0), que aprovecha estas credenciales para difundirse ampliamente dentro de la organización. Finalmente, en una fecha predefinida, el wiper se activa, haciendo que las máquinas infectadas sean completamente inoperables. Cabe señalar que las etapas finales de los ataques están completamente automatizadas, sin necesidad de comunicación con el centro de mando y control.

Mientras investigaban los ataques de Shamoon 2.0, Kaspersky Lab también descubrió un malware wiper previamente desconocido que parece estar dirigido a organizaciones en Arabia Saudita. Están llamando a este nuevo wiper como StoneDrill. StoneDrill tiene varias similitudes de “estilo” con Shamoon, con múltiples factores y técnicas interesantes para permitir una mejor evasión de la detección. Además de los sospechosos objetivos saudíes, una víctima de StoneDrill se observó en la Kaspersky Security Network (KSN) en Europa. Esto nos hace creer que el actor de la amenaza detrás de StoneDrill está ampliando sus operaciones de limpieza de Oriente Medio a Europa.

Para resumir algunas de las características de los nuevos ataques de wipers, tanto para Shamoon como para StoneDrill:

  • Shamoon 2.0 incluye un módulo de ransomware completamente funcional, además de su funcionalidad de limpieza común.
  • Shamoon 2.0 tiene componentes de 32 y 64 bits.
  • Las muestras de Shamoon que analizaron en enero de 2017 no implementan ninguna comunicación de comando y control (C & C); Las anteriores incluían una funcionalidad básica de C & C que hacía referencia a servidores locales en la red de la víctima.
  • StoneDrill utiliza mucho las técnicas de evasión para evitar la ejecución en sandbox.
  • Mientras Shamoon incorpora las secciones de idioma de recursos árabe-yemení, StoneDrill integra principalmente secciones de idioma de recursos persas. Por supuesto, no excluyen la posibilidad de banderas falsas.
  • StoneDrill no utiliza controladores durante la implementación (a diferencia de Shamoon), sino que se basa en la inyección de memoria del módulo de limpieza en el navegador preferido de la víctima.
  • Varias similitudes existen entre Shamoon y StoneDrill.
  • Múltiples similitudes se encontraron entre StoneDrill y ataques analizados anteriormente de NewsBeef.

Están publicando un informe técnico completo que proporciona nuevas ideas sobre los ataques de Shamoon 2.0 y StoneDrill, incluyendo:

  1. Las técnicas y estrategias de descubrimiento que usaron para Shamoon y StoneDrill.
  2. Detalles sobre la funcionalidad del ransomware que se encuentra en Shamoon 2.0. Esta funcionalidad está actualmente inactiva pero podría utilizarse en futuros ataques.
  3. Detalles sobre las nuevas funciones de StoneDrill, incluyendo sus capacidades destructivas (incluso con privilegios de usuario limitados).
  4. Detalles sobre las similitudes entre los estilos de malware y el código fuente de los componentes de malware que se encuentran en Shamoon, StoneDrill y NewsBeef.

El descubrimiento de StoneDrill proporciona otra dimensión a la ola existente de ataques de wipers contra las organizaciones sauditas que comenzaron con Shamoon 2.0 en Noviembre del 2016. Comparada con las nuevas variantes de Shamoon 2.0, la diferencia más significativa es la falta de un controlador de disco utilizado para el acceso directo durante el paso destructivo. Sin embargo, uno no necesita necesariamente el acceso al disco puro para realizar funciones destructivas a nivel de archivo, que el malware implementa con bastante éxito.

Por supuesto, una de las preguntas más importantes aquí es la conexión entre Shamoon y StoneDrill. Ambos wipers parecen haber sido utilizados contra las organizaciones sauditas durante un período similar de Octubre-Noviembre del 2016. Varias teorías son posibles aquí:

  • StoneDrill es una herramienta de wiper menos utilizada, desplegada en ciertas situaciones por el mismo grupo de Shamoon.
  • StoneDrill y Shamoon son utilizados por diferentes grupos que están alineados en sus intereses.
  • StoneDrill y Shamoon son utilizados por dos grupos diferentes que no tienen conexión entre sí y por casualidad tienen como blanco a las organizaciones de Arabia Saudita al mismo tiempo.

Teniendo en cuenta todos los factores, la opinión de Kaspersky Labs es que la teoría más probable es la segunda.

Además, StoneDrill parece estar conectado con la actividad anteriormente reportada de NewsBeef, que sigue dirigiéndose a organizaciones sauditas. Desde este punto de vista, NewsBeef y StoneDrill parecen estar continuamente enfocados en apuntar a los intereses de Arabia Saudita, mientras que Shamoon es una herramienta llamativa y de alto impacto.

En términos de atribución, mientras que Shamoon incorpora recursos de las secciones de idioma árabe-Yemen, StoneDrill incrusta principalmente secciones de idioma de recursos persas. Los analistas geopolíticos se apresuran a señalar que Irán y Yemen son ambos protagonistas en el conflicto de poder entre Irán y Arabia Saudita. Por supuesto, no excluyen la posibilidad de banderas falsas.

Finalmente, muchas preguntas sin respuesta permanecen en relación con StoneDrill y NewsBeef. El descubrimiento del wiper StoneDrill en Europa es una señal significativa de que el grupo está expandiendo sus ataques destructivos fuera de Oriente Medio. El objetivo del ataque parece ser una gran empresa con una amplia actividad en el sector petroquímico, sin aparente conexión o intereses en Arabia Saudita.

Como de costumbre, Kaspersky Labs seguirán monitoreando los ataques de Shamoon, StoneDrill y NewsBeef.

Una presentación sobre StoneDrill se dará en la Conferencia Cumbre de Kaspersky Security Analyst en Abril 2 al 6 del 2017.

Los productos de Kaspersky Lab detectan las muestras de Shamoon y StoneDrill como:

Trojan.Win32.EraseMBR.a
Trojan.Win32.Shamoon.a
Trojan.Win64.Shamoon.a
Trojan.Win64.Shamoon.b
Backdoor.Win32.RemoteConnection.d
Trojan.Win32.Inject.wmyv
Trojan.Win32.Inject.wmyt
HEUR:Trojan.Win32.Generic

Indicadores de Compromiso

Shamoon MD5s

00c417425a73db5a315d23fac8cb353f
271554cff73c3843b9282951f2ea7509
2cd0a5f1e9bcce6807e57ec8477d222a
33a63f09e0962313285c0f0fb654ae11
38f3bed2635857dc385c5d569bbc88ac
41f8cd9ac3fb6b1771177e5770537518
5446f46d89124462ae7aca4fce420423
548f6b23799f9265c01feefc6d86a5d3
63443027d7b30ef0582778f1c11f36f3
6a7bff614a1c2fd2901a5bd1d878be59
6bebb161bc45080200a204f0a1d6fc08
7772ce23c23f28596145656855fd02fc
7946788b175e299415ad9059da03b1b2
7edd88dd4511a7d5bcb91f2ff177d29d
7f399a3362c4a33b5a58e94b8631a3d5
8405aa3d86a22301ae62057d818b6b68
8712cea8b5e3ce0073330fd425d34416
8fbe990c2d493f58a2afa2b746e49c86
940cee0d5985960b4ed265a859a7c169
9d40d04d64f26a30da893b7a30da04eb
aae531a922d9cca9ddca3d98be09f9df
ac8636b6ad8f946e1d756cd4b1ed866d
af053352fe1a02ba8010ec7524670ed9
b4ddab362a20578dc6ca0bc8cc8ab986
baa9862b027abd61b3e19941e40b1b2d
c843046e54b755ec63ccb09d0a689674
d30cfa003ebfcd4d7c659a73a8dce11e
da3d900f8b090c705e8256e1193a18ec
dc79867623b7929fd055d94456be8ba0
ec010868e3e4c47239bf720738e058e3
efab909e4d089b8f5a73e0b363f471c1

StoneDrill MD5s

ac3c25534c076623192b9381f926ba0d
0ccc9ec82f1d44c243329014b82d3125
8e67f4c98754a2373a49eaf53425d79a
fb21f3cea1aa051ba2a45e75d46b98b8

StoneDrill C2s

http://www.eservic[.]com
http://www.securityupdated[.]com
http://www.actdire[.]com
http://www.chromup[.]com

NewsBeef C2s

http://www.chrome-up[.]date
service1.chrome-up[.]date
service.chrome-up[.]date
webmaster.serveirc[.]com

Fuente:securelist

Anuncios