Hari ini, para ahli Kaspersky Lab melaporkan penemuan malware kompleks baru yang menghancurkan semua data di komputer korban. Perangkat lunak berbahaya bernama StoneDrill, dan tidak hanya menghapus informasi dari hard drive, tetapi juga memata-matai korban. Selain itu, program ini dapat bersembunyi dari alat deteksi yang dilengkapi dengan produk antivirus.
Menurut para ahli Lab Kaspersky, StoneDrill sangat mirip dengan virus lain yang menyebabkan banyak kerusakan pada komputer pengguna dan perusahaan pada tahun 2012. Ini adalah
program Shamoon (juga dikenal sebagai Disttrack). Virus ini berhasil mengganggu kerja sekitar 35 ribu komputer hanya di perusahaan minyak dan gas Saudi Aramco, yang beroperasi di Timur Tengah. Dimungkinkan untuk memulihkan operasi normal organisasi ini hanya 10 hari setelah infeksi. Berapa banyak komputer yang terinfeksi malware di perusahaan dan wilayah lain tidak diketahui secara pasti.
Karena pukulan besar terhadap operasi perusahaan, kerusakan signifikan disebabkan yang mempengaruhi pekerjaan seluruh industri minyak dan gas, tidak hanya di Arab Saudi, tetapi juga di dunia. Hampir segera setelah kejadian ini, para pengembang Shamoon menghentikan aktivitas mereka, penyebaran virus juga menjadi sia-sia. Sekarang,
menurut para ahli dari Kaspersky Lab, virus serupa telah muncul yang dilengkapi dengan sejumlah modul tambahan yang memperluas fungsi perangkat lunak.
Benar, pertimbangkan Shamoon dan StoneDrill versi berbeda dari virus yang sama. Faktanya adalah bahwa prinsip pekerjaan mereka masih berbeda. Fitur umum dari perangkat lunak ini adalah kemampuan untuk bersembunyi dari antivirus. Kaspersky Lab sendiri mampu mendeteksi virus melalui penggunaan beberapa aturan untuk mendeteksi serangan bertarget yang dibuat untuk mendeteksi Shamoon, dan ini sudah merupakan versi kedua. Faktanya adalah Shamoon kembali tahun lalu dan mulai menyerang komputer perusahaan di Arab Saudi. Untuk mendeteksi Shamoon 2.0, alat deteksi spesifik dikembangkan, dengan bantuan ahli keamanan informasi menemukan malware lain, yang sampai sekarang tidak diketahui. Ini adalah StoneDrill.
Virus itu sendiri terdeteksi, tetapi banyak dari rincian kerjanya masih belum diketahui. Ini, misalnya, adalah cara menyebarkan malware. Namun, para ahli dapat mengetahui bagaimana StoneDrill tidak diperhatikan oleh perangkat lunak antivirus. Untuk melakukan ini, dua teknologi anti-emulasi digunakan yang memungkinkan virus untuk menghindari deteksi oleh perilaku. Ketika seorang korban memasuki PC korban, StoneDrill segera diintegrasikan ke dalam proses memori browser yang utama untuk komputer tersebut. Setelah itu, virus mulai menghancurkan file pada hard drive dan memata-matai para korban. Karyawan Lab Kaspersky dapat mendeteksi empat server yang digunakan penyerang melakukan pengawasan.
Sepotong kecil kode malware dalam file yang dianalisisAdapun kesamaan antara Shamoon dan StoneDrill, malware memiliki banyak kesamaan, meskipun, sejauh yang bisa dinilai, tim yang berbeda melakukannya. Perbedaannya adalah bahwa ada versi Yaman dari bahasa Arab dalam kode Shamoon, dan bahasa Persia ditemukan di StoneDrill. Dari ini, para ahli keamanan dunia maya
menyarankan bahwa pengembang Iran dan Yaman, yang mungkin tertarik menyebabkan kerusakan maksimum pada perusahaan-perusahaan dari Arab Saudi, berada di belakang pengembangan malware. Faktanya adalah bahwa di wilayah ini jumlah korban maksimum serangan Stone Drill dan Shamoon diamati. Tapi ini hanya asumsi, yang mungkin tidak memiliki dasar nyata. Pada saat yang sama, otoritas Saudi
menuduh Iran melakukan serangan.
Setelah analisis terperinci, karyawan Lab Kaspersky
dapat menemukan beberapa detail penting dari serangan menggunakan Shamoon dan StoneDrill:
- Modul ransomware telah ditambahkan ke Shamoon 2.0. Modul ini masih tidak aktif, tetapi penyerang dapat mengaktifkannya kapan saja;
- Shamoon, versi barunya, tidak memiliki modul untuk komunikasi dengan server perintah, tetapi versi malware sebelumnya menyertakan modul ini;
- StoneDrill menggunakan memori peramban untuk mengakses komputer korban, seperti yang dibahas di atas. Tapi Shamoon bekerja dengan pengemudi.
Perbedaan signifikan antara StoneDrill adalah bahwa virus ini diketahui selama serangan terhadap jaringan komputer dari sebuah organisasi Eropa yang tidak disebutkan namanya. Dengan demikian, malware ini dapat dikembangkan oleh tim yang bidang minatnya tidak hanya Arab Saudi, tetapi juga Eropa.
Kaspersky Lab mencatat kesamaan aktivitas StoneDrill dengan karya
malware lain,
NewsBeef . Virus ini telah lama menyerang komputer dan jaringan komputer organisasi di Arab Saudi. Para ahli perusahaan percaya bahwa Shamoon dapat menjadi alat yang efektif untuk penggunaan jangka pendek, sementara NewsBeef dan StoneDrill adalah alat eksposur jangka panjang.
Kaspersky Lab berencana untuk memberi tahu lebih banyak tentang ancaman baru di konferensi
Kaspersky Security Analyst Summit pada 2-6 April 2017.