Hoje, os especialistas da Kaspersky Lab relataram a descoberta de um novo malware complexo que destrói todos os dados no computador da vítima. Software malicioso chamado StoneDrill, que não apenas remove as informações dos discos rígidos, mas também espiona as vítimas. Além disso, este programa pode ocultar as ferramentas de detecção equipadas com produtos antivírus.
Segundo os especialistas da Kaspersky Lab, o StoneDrill é muito semelhante a outro vírus que causou muitos danos aos computadores corporativos e de usuários em 2012. Este é um
programa Shamoon (também conhecido como Disttrack). Esse vírus conseguiu interromper o trabalho de cerca de 35 mil computadores apenas na empresa de petróleo e gás Saudi Aramco, que opera no Oriente Médio. Foi possível restaurar o funcionamento normal desta organização apenas 10 dias após a infecção. Quantos computadores o malware infectado em outras empresas e regiões não é conhecido exatamente.
Devido a um golpe tão maciço nas operações da empresa, foram causados danos significativos que afetaram o trabalho de toda a indústria de petróleo e gás, não apenas na Arábia Saudita, mas também no mundo. Quase imediatamente após esse incidente, os desenvolvedores do Shamoon interromperam suas atividades, a propagação do vírus também não deu em nada. Agora, de
acordo com especialistas da Kaspersky Lab, um vírus semelhante apareceu equipado com vários módulos adicionais que expandem a funcionalidade do software.
É verdade, considere Shamoon e StoneDrill versões diferentes do mesmo vírus. O fato é que o princípio de seu trabalho ainda é diferente. Um recurso comum deste software é a capacidade de se esconder de antivírus. A própria Kaspersky Lab conseguiu detectar o vírus através do uso de várias regras para detectar ataques direcionados que foram criados para detectar o Shamoon, e essa já é a segunda versão. O fato é que Shamoon voltou no ano passado e novamente começou a atacar os computadores de empresas na Arábia Saudita. Para detectar o Shamoon 2.0, foram desenvolvidas ferramentas de detecção específicas, com a ajuda dos quais especialistas em segurança da informação encontraram outro malware, até então desconhecido. Este é o StoneDrill.
O próprio vírus foi detectado, mas muitos dos detalhes de seu trabalho permanecem desconhecidos. Essa, por exemplo, é uma maneira de espalhar malware. No entanto, os especialistas conseguiram descobrir como o StoneDrill passa despercebido pelo software antivírus. Para isso, são usadas duas tecnologias anti-emulação que permitem ao vírus evitar a detecção por comportamento. Quando uma vítima entra no PC da vítima, o StoneDrill é imediatamente integrado ao processo de memória do navegador principal para esse computador em particular. Depois disso, o vírus começa a destruir arquivos no disco rígido e espionar as vítimas. Os funcionários da Kaspersky Lab conseguiram detectar quatro servidores através dos quais os invasores conduzem a vigilância.
Um pequeno pedaço de código de malware no arquivo analisadoQuanto às semelhanças entre Shamoon e StoneDrill, o malware tem muitas semelhanças, embora, tanto quanto se possa julgar, equipes diferentes as fizeram. A diferença é que existe uma versão iemenita do idioma árabe no código Shamoon, e o idioma persa é encontrado no StoneDrill. A partir disso, especialistas em segurança cibernética
sugerem que os desenvolvedores iranianos e iemenitas, que podem estar interessados em causar o máximo dano às empresas da Arábia Saudita, estão por trás do desenvolvimento de malware. O fato é que é nessa região que é observado o número máximo de vítimas dos ataques de broca de pedra e lua de mel. Mas isso é apenas uma suposição, que pode não ter nenhuma base real. Ao mesmo tempo, as autoridades sauditas
acusam o Irã de realizar um ataque.
Após uma análise detalhada, os funcionários da Kaspersky Lab
conseguiram descobrir alguns detalhes importantes dos ataques usando Shamoon e StoneDrill:
- Um módulo de ransomware foi adicionado ao Shamoon 2.0. O módulo ainda está inativo, mas os atacantes podem ativá-lo a qualquer momento;
- Shamoon, sua nova versão, não possui um módulo de comunicação com o servidor de comando, mas as versões anteriores do malware incluíam este módulo;
- O StoneDrill usa a memória do navegador para acessar o computador da vítima, conforme discutido acima. Mas Shamoon trabalha com drivers.
Uma diferença significativa entre o StoneDrill é que esse vírus foi detectado durante um ataque às redes de computadores de uma organização européia sem nome. Portanto, esse malware pode ser desenvolvido por uma equipe cujas áreas de interesse não são apenas a Arábia Saudita, mas também a Europa.
A Kaspersky Lab observa a semelhança da atividade do StoneDrill com o trabalho de outro
malware , o
NewsBeef . Este vírus está atacando computadores e redes de computadores de organizações na Arábia Saudita. Os especialistas da empresa acreditam que o Shamoon pode ser uma ferramenta eficaz para uso a curto prazo, enquanto o NewsBeef e o StoneDrill são ferramentas de exposição a longo prazo.
A Kaspersky Lab planeja contar mais sobre a nova ameaça na conferência
Kaspersky Security Analyst Summit de 2 a 6 de abril de 2017.