Los "wipers" atacan a organizaciones sauditas y otros
A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.
Inactivo durante cuatro años, uno de los más misteriosos wipers de la historia ha regresado.
Hasta el momento, hemos observado tres oleadas de ataques del programa malicioso Shamoon 2.0, que se activó el 17 de noviembre de 2016, el 29 de noviembre de 2016 y el 23 de enero de 2017.
También conocida como Disttrack, Shamoon es una familia de programas maliciosos altamente destructivos que eliminan toda la información en el equipo de la víctima. Un grupo conocido como la Espada Cortante de la Justicia se atribuyó el ataque contra Saudi Aramco mediante la publicación de un mensaje de Pastebin en el día del ataque (allá por 2012), y justificó el ataque como una medida contra la monarquía saudita.
Los ataques de Shamoon 2.0 observados en noviembre de 2016 estaban destinados a organizaciones de diversos sectores de la infraestructura crítica y económica de Arabia Saudita. Al igual que la variante anterior, el wiper Shamoon 2.0 apunta a la destrucción masiva de los sistemas dentro de las organizaciones atacadas.
Los nuevos ataques comparten muchas similitudes con los de 2012 y ahora cuentan con nuevas herramientas y técnicas. Durante la primera etapa, los atacantes obtienen las credenciales de administrador de la red de la víctima. A continuación, construyen un wiper diseñado especialmente (Shamoon 2.0) para aprovechar estas credenciales y propagarse ampliamente dentro de la organización. Por último, en una fecha predefinida, el wiper se activa, inutilizando por completo las máquinas infectadas. Cabe señalar que las etapas finales de los ataques son completamente automatizadas, obviando la comunicación con el centro de mando y control.
Al investigar los ataques de Shamoon 2.0, Kaspersky Lab también descubrió un programa malicioso wiper previamente desconocido que parece estar dirigido contra organizaciones en Arabia Saudita. Hemos bautizado este nuevo wiper como StoneDrill. StoneDrill tiene varias similitudes de “estilo” con Shamoon, con múltiples factores y técnicas interesantes que permiten evitar su detección. Además de los presuntos objetivos en Arabia Saudita, se observó una víctima de StoneDrill en la Red de Seguridad Kaspersky (KSN) en Europa. Esto nos hace creer que el responsable de la amenaza StoneDrill está expandiendo sus operaciones de eliminación desde el Medio Oriente a Europa.
En resumen, estas son algunas de las características de los nuevos ataques de los wipers Shamoon y StoneDrill:
- Shamoon 2.0 incluye un módulo de ransomware completamente funcional, además de su funcionalidad común de eliminación.
- Shamoon 2.0 tiene componentes de 32 bits y de 64 bits.
- Las muestras de Shamoon que analizamos en enero de 2017 no implementaban ninguna comunicación de comando y control (C&C); las anteriores incluían una funcionalidad básica de C&C que se refería a los servidores locales en la red de la víctima.
- StoneDrill hace uso intensivo de técnicas de evasión para evitar su ejecución en cajas de arena (sandboxes).
- Mientras Shamoon incrusta secciones en la variante yemení del idioma árabe, la mayor parte de las incrustadas por StoneDrill están en persa. Por supuesto, no se excluye la posibilidad de falsas banderas.
- StoneDrill no utiliza drivers durante su instalación (a diferencia de Shamoon), pero recurre a la inyección de memoria del módulo de eliminación en el navegador que usa la víctima.
- Existen varias similitudes entre Shamoon y StoneDrill.
- Se han encontrado múltiples similitudes entre StoneDrill y ataques NewsBeef analizados previamente.
Estamos publicando un informe técnico completo en el que ofrecemos nuevos conocimientos sobre los ataques Shamoon 2.0 y StoneDrill, incluyendo:
- Las técnicas y estrategias de detección que utilizamos para Shamoon y StoneDrill.
- Los detalles sobre la función ransomware encontrada en Shamoon 2.0. Esta función está actualmente inactiva, pero se podría usar en futuros ataques.
- Detalles sobre las funciones de StoneDrill recién descubiertas, entre ellas sus capacidades destructivas (incluso con privilegios limitados de usuario).
- Detalles sobre las similitudes entre los estilos y el código fuente de los componentes de los programas maliciosos encontrados en Shamoon, StoneDrill y NewsBeef.
Nuestro descubrimiento de StoneDrill añade otra dimensión a la ola actual de ataques de wipers contra organizaciones sauditas que comenzó con Shamoon 2.0 en noviembre de 2016. En comparación con las nuevas variantes de Shamoon 2.0, la diferencia más significativa es que no se usa un driver de disco duro para el acceso directo durante la fase destructiva. Sin embargo, no es necesario el acceso primario al disco para realizar funciones destructivas a nivel de archivos, lo que el programa malicioso realiza con bastante éxito.
Por supuesto, una de las cuestiones más importantes en este caso es la conexión entre Shamoon y StoneDrill. Ambos wipers parecen haber sido utilizados contra las organizaciones sauditas durante un periodo de tiempo similar, entre octubre y noviembre de 2016. Varias teorías son posibles aquí:
- StoneDrill es una herramienta de eliminación menos utilizada, implementada en ciertas situaciones por el mismo grupo Shamoon.
- StoneDrill y Shamoon son utilizados por diferentes grupos que están alineados en sus intereses.
- StoneDrill y Shamoon son utilizados por dos grupos diferentes que no tienen relación entre sí y sólo coinciden en sus ataques contra organizaciones sauditas.
Teniendo en cuenta todos los factores, nuestra opinión es que la teoría más probable es la segunda.
Además, StoneDrill parece estar conectado con las actividades de NewsBeef, ya informadas en su momento (LINK TO https://securelist.com/blog/software/74503/freezer-paper-around-free-meat/), que continúa apuntando a las organizaciones sauditas. Desde este punto de vista, NewsBeef y StoneDrill parecen estar enfocados de forma continua en ataques contra los intereses de Arabia Saudita, mientras que Shamoon es una herramienta muy llamativa e intermitente con alto impacto.
Respecto a sus atributos, mientras Shamoon incrusta secciones en idioma árabe yemení, StoneDrill incrusta secciones en idioma persa. Los analistas geopolíticos señalarían rápidamente que Irán y Yemen son los actores en la guerra subsidiaria entre Irán y Arabia Saudita. Por supuesto, no se excluye la posibilidad de falsas banderas.
Por último, hay muchas interrogantes sin respuesta sobre StoneDrill y NewsBeef. El descubrimiento del wiper StoneDrill en Europa es una señal significativa de que el grupo está expandiendo sus ataques destructivos fuera del Medio Oriente. El objetivo del ataque parece ser una gran empresa con amplias actividades en el sector petroquímico, sin conexión aparente ni intereses en Arabia Saudita.
Como de costumbre, seguiremos monitoreando los ataques de Shamoon, StoneDrill y NewsBeef.
En la conferencia Kaspersky Security Analyst Summit que se llevará a cabo del 1 al 2 de abril de 2017, ofreceremos una presentación sobre StoneDrill.
Los productos de Kaspersky Lab detectan las muestras Shamoon y StoneDrill como:
Trojan.Win32.EraseMBR.a
Trojan.Win32.Shamoon.a
Trojan.Win64.Shamoon.a
Trojan.Win64.Shamoon.b
Backdoor.Win32.RemoteConnection.d
Trojan.Win32.Inject.wmyv
Trojan.Win32.Inject.wmyt
HEUR:Trojan.Win32.Generic
Indicadores de infección
Shamoon MD5s
00c417425a73db5a315d23fac8cb353f
271554cff73c3843b9282951f2ea7509
2cd0a5f1e9bcce6807e57ec8477d222a
33a63f09e0962313285c0f0fb654ae11
38f3bed2635857dc385c5d569bbc88ac
41f8cd9ac3fb6b1771177e5770537518
5446f46d89124462ae7aca4fce420423
548f6b23799f9265c01feefc6d86a5d3
63443027d7b30ef0582778f1c11f36f3
6a7bff614a1c2fd2901a5bd1d878be59
6bebb161bc45080200a204f0a1d6fc08
7772ce23c23f28596145656855fd02fc
7946788b175e299415ad9059da03b1b2
7edd88dd4511a7d5bcb91f2ff177d29d
7f399a3362c4a33b5a58e94b8631a3d5
8405aa3d86a22301ae62057d818b6b68
8712cea8b5e3ce0073330fd425d34416
8fbe990c2d493f58a2afa2b746e49c86
940cee0d5985960b4ed265a859a7c169
9d40d04d64f26a30da893b7a30da04eb
aae531a922d9cca9ddca3d98be09f9df
ac8636b6ad8f946e1d756cd4b1ed866d
af053352fe1a02ba8010ec7524670ed9
b4ddab362a20578dc6ca0bc8cc8ab986
baa9862b027abd61b3e19941e40b1b2d
c843046e54b755ec63ccb09d0a689674
d30cfa003ebfcd4d7c659a73a8dce11e
da3d900f8b090c705e8256e1193a18ec
dc79867623b7929fd055d94456be8ba0
ec010868e3e4c47239bf720738e058e3
efab909e4d089b8f5a73e0b363f471c1
StoneDrill MD5s
ac3c25534c076623192b9381f926ba0d
0ccc9ec82f1d44c243329014b82d3125
8e67f4c98754a2373a49eaf53425d79a
fb21f3cea1aa051ba2a45e75d46b98b8
StoneDrill C2s
www.eservic[.]com
www.securityupdated[.]com
www.actdire[.]com
www.chromup[.]com
NewsBeef C2s
www.chrome-up[.]date
service1.chrome-up[.]date
service.chrome-up[.]date
webmaster.serveirc[.]com
De Shamoon a StoneDrill