 |
|
|
Kaspersky Lab reveló la existencia de StoneDrill, un nuevo malware wiper que, como ya venía haciendo Shamoon, es capaz de introducirse en equipos informáticos y destruir todo lo que contienen.
Cabe señalar que Shamoon saltó a la fama hace unos años, cuando tumbó alrededor de 35.000 computadores de una empresa petrolífera de Oriente Medio. Desde entonces ha ido evolucionando. StoneDrill sería similar en ciertos aspectos al nuevo Shamoon 2.0, aunque desde Kaspesky Lab lo consideran incluso más sofisticado. “Dispone de avanzadas técnicas anti detección y espionaje”, según explican los expertos.
Aunque se desconoce cuál es su método de propagación sí se sabe cómo procede una vez en su destino. Lo que hace es alojarse en el proceso de memoria del buscador que utiliza el usuario y aplica técnicas “anti emulación” para evitar las soluciones de seguridad y destruir los archivos contenidos en los discos. Su módulo de borrado va acompañado por un backdoor que sirve para espiar, en combinación con cuatro paneles de comando y control.
Los expertos dicen que, además de atacar en Oriente Medio, este nuevo wiper también se dirige a Europa. Esto es algo que hasta ahora nunca había pasado con este tipo de malware. Además, StoneDrill parece estar conectado a otros wipers y campañas de espionaje. Por ejemplo, aprovecha partes de código de NewsBeef APT o Charming Kitten.
“Estamos muy intrigados por los parecidos y las comparaciones”, comenta Mohamad Amin Hasbini, analista sénior de seguridad, del equipo mundial de análisis e investigación de Kaspersky Lab, que se pregunta si “StoneDrill es fruto del mismo sujeto detrás de Shamoon”, si “StoneDrill y Shamoon tienen detrás a dos grupos distintos y no conectados que pretenden ambos atacar a entidades sauditas” o si “son dos grupos distintos, pero perfectamente alineados en sus objetivos”.
“Probablemente esta última posibilidad sea la más plausible”, dice Hasbini, “ya que mientras que Shamoon incluye secciones escritas en árabe, StoneDrill lo hace en persa. Los analistas geopolíticos rápidamente comentarían que tanto Irán como Yemen son actores en el cercano conflicto entre Irán y Arabia Saudita, y Arabia Saudita en el país donde más víctimas de este malware han sido identificadas”, añade. “Pero por supuesto, esto no excluye la posibilidad de que estos objetos sean simplemente unos señuelos”.
|
