Aujourd'hui, les experts de Kaspersky Lab ont signalé la découverte d'un nouveau malware complexe qui détruit toutes les données de l'ordinateur de la victime. Un logiciel malveillant appelé StoneDrill, et il supprime non seulement les informations des disques durs, mais espionne également les victimes. De plus, ce programme peut se cacher des outils de détection dont sont équipés les produits antivirus.
Selon les experts de Kaspersky Lab, StoneDrill est très similaire à un autre virus qui a causé beaucoup de dommages aux ordinateurs des utilisateurs et des entreprises en 2012. Il s'agit d'un
programme Shamoon (également connu sous le nom de Disttrack). Ce virus n'a réussi à perturber le travail d'environ 35 000 ordinateurs que dans la société pétrolière et gazière Saudi Aramco, opérant au Moyen-Orient. Il n'a été possible de rétablir le fonctionnement normal de cette organisation que 10 jours après l'infection. Le nombre d'ordinateurs infectés par le malware dans d'autres entreprises et régions n'est pas connu exactement.
En raison d'un tel coup dur porté aux activités de l'entreprise, des dommages importants ont été causés qui ont affecté le travail de l'ensemble de l'industrie pétrolière et gazière non seulement en Arabie saoudite, mais aussi dans le monde. Presque immédiatement après cet incident, les développeurs de Shamoon ont cessé leurs activités, la propagation du virus a également échoué. Aujourd'hui,
selon les experts de Kaspersky Lab, un virus similaire est apparu, équipé de plusieurs modules supplémentaires qui étendent les fonctionnalités du logiciel.
Certes, considérez Shamoon et StoneDrill différentes versions du même virus. Le fait est que le principe de leur travail est toujours différent. Une caractéristique commune de ce logiciel est la possibilité de se cacher des antivirus. Kaspersky Lab lui-même a pu détecter le virus grâce à l'utilisation de plusieurs règles pour détecter les attaques ciblées qui ont été créées pour détecter Shamoon, et c'est déjà la deuxième version. Le fait est que Shamoon est revenu l'année dernière et a recommencé à attaquer les ordinateurs des entreprises en Arabie saoudite. Pour détecter Shamoon 2.0, des outils de détection spécifiques ont été développés, à l'aide desquels des experts en sécurité de l'information ont trouvé un autre malware, jusqu'ici inconnu. Voici StoneDrill.
Le virus lui-même a été détecté, mais de nombreux détails de son travail restent inconnus. C'est, par exemple, un moyen de propager des logiciels malveillants. Cependant, les experts ont pu découvrir comment StoneDrill passe inaperçu par un logiciel antivirus. Pour ce faire, deux technologies anti-émulation sont utilisées qui permettent au virus d'éviter la détection par comportement. Lorsqu'une victime pénètre dans le PC de la victime, StoneDrill est immédiatement intégré dans le processus de mémoire du navigateur principal pour cet ordinateur particulier. Après cela, le virus commence à détruire des fichiers sur le disque dur et à espionner les victimes. Les employés de Kaspersky Lab ont pu détecter quatre serveurs à travers lesquels les attaquants effectuent une surveillance.
Un petit morceau de code malveillant dans le fichier analyséQuant aux similitudes entre Shamoon et StoneDrill, le malware présente de nombreuses similitudes, bien que, pour autant que l'on puisse en juger, différentes équipes les ont faites. La différence est qu'il existe une version yéménite de la langue arabe dans le code Shamoon, et la langue persane se trouve dans StoneDrill. À partir de cela, les experts en cybersécurité
suggèrent que les développeurs iraniens et yéménites, qui pourraient être intéressés à causer un maximum de dommages aux entreprises d'Arabie saoudite, sont à l'origine du développement de logiciels malveillants. Le fait est que c'est dans cette région que l'on observe le nombre maximum de victimes des attaques de Stone Drill et Shamoon. Mais ce n'est qu'une hypothèse, qui peut ne pas avoir de fondement réel. Dans le même temps, les autorités saoudiennes
accusent l' Iran de mener une attaque.
Après une analyse détaillée, les employés de Kaspersky Lab
ont pu découvrir certains détails importants des attaques à l'aide de Shamoon et StoneDrill:
- Un module de rançongiciel a été ajouté à Shamoon 2.0. Le module est toujours inactif, mais les attaquants peuvent l'activer à tout moment;
- Shamoon, sa nouvelle version, n'a pas de module de communication avec le serveur de commandes, mais les versions précédentes du malware incluaient ce module;
- StoneDrill utilise la mémoire du navigateur pour accéder à l'ordinateur de la victime, comme indiqué ci-dessus. Mais Shamoon travaille avec des pilotes.
Une différence significative entre StoneDrill est que ce virus a été remarqué lors d'une attaque sur les réseaux informatiques d'une organisation européenne anonyme. Ainsi, ce malware peut être développé par une équipe dont les centres d'intérêt ne sont pas seulement l'Arabie saoudite, mais aussi l'Europe.
Kaspersky Lab note la similitude de l'activité de StoneDrill avec le travail d'un autre
malware ,
NewsBeef . Ce virus attaque depuis longtemps les ordinateurs et les réseaux informatiques d'organisations en Arabie saoudite. Les experts de la société pensent que Shamoon peut être un outil efficace pour une utilisation à court terme, tandis que NewsBeef et StoneDrill sont des outils d'exposition à long terme.
Kaspersky Lab prévoit d'en dire plus sur la nouvelle menace lors de la conférence
Kaspersky Security Analyst Summit du 2 au 6 avril 2017.