Heute berichteten Experten von Kaspersky Lab über die Entdeckung einer neuen komplexen Malware, die alle Daten auf dem Computer des Opfers zerstört. Schädliche Software namens StoneDrill, die nicht nur Informationen von Festplatten entfernt, sondern auch Opfer ausspioniert. Dieses Programm kann sich auch vor den Erkennungstools verstecken, mit denen Antivirenprodukte ausgestattet sind.
Laut Experten von Kaspersky Lab ist StoneDrill einem anderen Virus sehr ähnlich, der 2012 Benutzern und Unternehmenscomputern großen Schaden zugefügt hat. Dies ist ein
Shamoon-Programm (auch als Disttrack bekannt). Dieser Virus konnte die Arbeit von etwa 35.000 Computern nur bei dem im Nahen Osten tätigen Öl- und Gasunternehmen Saudi Aramco stören. Der normale Betrieb dieser Organisation konnte nur 10 Tage nach der Infektion wiederhergestellt werden. Wie viele Computer die Malware in anderen Unternehmen und Regionen infiziert hat, ist nicht genau bekannt.
Aufgrund eines derart massiven Rückschlags auf die Geschäftstätigkeit des Unternehmens wurden erhebliche Schäden verursacht, die die Arbeit der gesamten Öl- und Gasindustrie nicht nur in Saudi-Arabien, sondern auch weltweit beeinträchtigten. Fast unmittelbar nach diesem Vorfall stellten die Shamoon-Entwickler ihre Aktivitäten ein, die Ausbreitung des Virus wurde ebenfalls zunichte gemacht. Experten von Kaspersky Lab zufolge ist nun ein ähnlicher Virus aufgetreten, der mit einer Reihe zusätzlicher Module ausgestattet ist, die die Funktionalität der Software erweitern.
Betrachten Sie Shamoon und StoneDrill als unterschiedliche Versionen desselben Virus. Tatsache ist, dass das Prinzip ihrer Arbeit immer noch anders ist. Ein gemeinsames Merkmal dieser Software ist die Fähigkeit, sich vor Virenschutzmitteln zu verstecken. Kaspersky Lab selbst konnte den Virus mithilfe verschiedener Regeln zur Erkennung gezielter Angriffe erkennen, die zur Erkennung von Shamoon erstellt wurden. Dies ist bereits die zweite Version. Tatsache ist, dass Shamoon letztes Jahr zurückkehrte und erneut begann, die Computer von Unternehmen in Saudi-Arabien anzugreifen. Um Shamoon 2.0 zu erkennen, wurden spezielle Erkennungswerkzeuge entwickelt, mit deren Hilfe Experten für Informationssicherheit eine andere bisher unbekannte Malware fanden. Das ist StoneDrill.
Das Virus selbst wurde entdeckt, aber viele Details seiner Arbeit sind unbekannt. Dies ist beispielsweise eine Möglichkeit, Malware zu verbreiten. Experten konnten jedoch herausfinden, wie StoneDrill von Antivirensoftware unbemerkt bleibt. Zu diesem Zweck werden zwei Antiemulationstechnologien verwendet, mit denen der Virus die Erkennung durch Verhalten vermeiden kann. Wenn ein Opfer den PC des Opfers betritt, wird StoneDrill sofort in den Speicherprozess des Browsers integriert, der für diesen bestimmten Computer primär ist. Danach beginnt der Virus, Dateien auf der Festplatte zu zerstören und die Opfer auszuspionieren. Die Mitarbeiter von Kaspersky Lab konnten vier Server erkennen, über die Angreifer die Überwachung durchführen.
Ein kleines Stück Malware-Code in der analysierten DateiWas die Ähnlichkeiten zwischen Shamoon und StoneDrill betrifft, so weist die Malware viele Ähnlichkeiten auf, obwohl sie, soweit man beurteilen kann, von verschiedenen Teams durchgeführt wurden. Der Unterschied besteht darin, dass der Shamoon-Code eine jemenitische Version der arabischen Sprache enthält und die persische Sprache in StoneDrill enthalten ist. Aus diesem Grund
schlagen Cybersicherheitsexperten vor
, dass iranische und jemenitische Entwickler, die möglicherweise daran interessiert sind, Unternehmen aus Saudi-Arabien maximalen Schaden zuzufügen, hinter der Entwicklung von Malware stehen. Tatsache ist, dass in dieser Region die maximale Anzahl von Opfern der Stone Drill- und Shamoon-Angriffe beobachtet wird. Dies ist jedoch nur eine Annahme, die möglicherweise keine wirkliche Grundlage hat. Gleichzeitig
werfen die saudischen Behörden dem Iran vor, einen Angriff durchgeführt zu haben.
Nach einer detaillierten Analyse konnten die Mitarbeiter von Kaspersky Lab mithilfe von Shamoon und StoneDrill einige wichtige Details der Angriffe herausfinden:
- Shamoon 2.0 wurde ein Ransomware-Modul hinzugefügt. Das Modul ist noch inaktiv, aber Angreifer können es jederzeit aktivieren.
- Shamoon, seine neue Version, verfügt nicht über ein Modul für die Kommunikation mit dem Befehlsserver, aber frühere Versionen der Malware enthielten dieses Modul.
- StoneDrill verwendet den Browserspeicher, um auf den Computer des Opfers zuzugreifen, wie oben erläutert. Aber Shamoon arbeitet mit Fahrern.
Ein wesentlicher Unterschied zwischen StoneDrill besteht darin, dass dieser Virus bei einem Angriff auf Computernetzwerke einer nicht genannten europäischen Organisation festgestellt wurde. Somit kann diese Malware von einem Team entwickelt werden, dessen Interessengebiete nicht nur Saudi-Arabien, sondern auch Europa sind.
Kaspersky Lab stellt die Ähnlichkeit der Aktivitäten von StoneDrill mit der Arbeit einer anderen
Malware ,
NewsBeef ,
fest . Dieser Virus greift seit langem Computer und Computernetzwerke von Organisationen in Saudi-Arabien an. Die Experten des Unternehmens sind der Ansicht, dass Shamoon ein wirksames Instrument für den kurzfristigen Einsatz sein kann, während NewsBeef und StoneDrill langfristige Expositionsinstrumente sind.
Kaspersky Lab plant, auf der Konferenz des
Kaspersky Security Analyst Summit vom 2. bis 6. April 2017 mehr über die neue Bedrohung zu erzählen.