6 Mar 2017

StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Seguridad

Si eres un lector asiduo del blog, conocerás nuestro equipo GReAT (equipo de investigación y análisis global), compuesto por más de 40 expertos en seguridad de todo el mundo especializados en la protección de nuestros clientes contra las ciberamenazas sofisticadas. A los integrantes les gusta comparar su trabajo con la paleontología: explorar la Deep web en busca de “huesos” y “cibermonstruos”. Algunos considerarán que este enfoque está pasado de moda: ¿qué tiene de especial analizar los “huesos” de las “criaturas” del pasado cuando lo importante es proteger tus redes de los monstruos que viven hoy? Bueno, les contaré una historia que demuestra que, a veces, no encontrarán los monstruos de hoy si no es mirando a los de ayer…

Algunos de ustedes concoerán a los llamados wipers, un tipo de malware que, una vez instalado en el PC atacado, elimina por completo la información que contiene y deja a su propietario con un hardware con apenas utilidad. El wiper más famoso (e infame) es Shamoon, un malware que en 2012 hizo mucho ruido en Oriente Medio al destruir la información de más de 30,000 equipos de la mayor compañía petrolera, Saudi Aramco, además de atacar a un gigante energético, Rasgas. Imaginen eso: 30,000 sistemas inoperativos de la mayor compañía petrolera del mundo…

Curiosamente, desde su devastadora campaña de 2012 contra la compañía saudí, poco se ha sabido de Shamoon, hasta que en 2016 volvió como Shamoon 2.0 con varias oleadas de ataques (de nuevo en Oriente Medio).

Desde que empezaron las nuevas oleadas de ataques de Shamoon, hemos ajustado nuestros sensores para que busquen el mayor número de versiones posibles de este malware (porque, seamos sinceros, no queremos que NINGUNO de nuestros clientes tenga que enfrentarse NUNCA a un malware como Shamoon). Y logramos encontrar varias versiones (¡hurra!). Pero junto con nuestra captura, nuestros investigadores, de forma inesperada, captaron un tipo completamente nuevo de malware wiper al que apodamos StoneDrill.

El código base de StoneDrill es diferente del de Shamoon y, por eso, creemos que se trata de una familia de malware completamente nueva; además, utiliza algunas técnicas avanzadas que evitan la detección, cosa que Shamoon no hace. Por eso, seguro que es un nuevo jugador. Y una de las cosas más inusuales (y preocupantes) que hemos aprendido de este malware es que, a diferencia de Shamoon, StoneDrill no se limita a buscar víctimas en Arabia Saudí o países vecinos. Hasta ahora, hemos descubierto solo dos objetivos de este malware y uno de ellos está en Europa.

¿Por qué es preocupante? Porque este descubrimiento indica que ciertos actores maliciosos con ciberherramientas devastadoras están comprobando el terreno de las regiones que anteriormente eran de poco interés para este tipo de actores.

Así que este es mi consejo para las empresas europeas que pudieran ser de interés para los delincuentes de StoneDrill, o incluso Shamoon: preparen las defensas de sus redes para este tipo de amenazas. No es algo que pueda afectar solo a las empresas petroleras de Oriente Medio. Parece que será global.

Volviendo a la ciberpaleontología…

Antes he mencionado que descubrimos StoneDrill de forma inesperada mientras buscábamos muestras de Shamoon. Claro que fue inesperado, pero no accidental…

Para encontrar variantes nuevas o similares de malware conocido, nuestros investigadores (entre otras herramientas), utilizan reglas YARA. Una herramienta específica que permite configurar diferentes parámetros de búsqueda que se filtran con nuestras bases de datos de malware.

Traducir a lenguaje humano el proceso de caza de malware con las reglas YARA es como buscar una cara en concreto entre una multitud sin conocer dicha cara. Imagina que tienes un amigo por correspondencia y, tras años de e-mails, deciden conocerse (en una estación de tren abarrotada). Pero, como decidieron no enviarse nunca una foto (no nos enviemos fotos, ¡será divertido/misterioso!), no conocen la apariencia del otro; solo saben algunos detalles, como la edad, altura, composición corporal, color del pelo, color de los ojos y, quizá, el tipo de ropa que suelen llevar. Así que, en esa estación llena de gente, se podrían encontrar con alguien que concuerde con esas descripciones de los rasgos físicos del otro, pero no sabrán si es el otro hasta que empiecen a hablar.

Bueno, lo mismo sucedió con StoneDrill.

Nuestros investigadores identificaron algunos parámetros únicos de las últimas versiones de Shamoon. Basándose en dichos parámetros, nuestros chicos crearon algunas reglas YARA, iniciaron la búsqueda y analizaron los resultados. Luego, encontraron una muestra que coincidió con los parámetros de Shamoon; sin embargo, tras analizarla detenidamente, quedó claro que el nuevo malware encontrado no era Shamoon, sino una familia totalmente nueva de malware wiper.

De acuerdo con nuestro ejemplo de los amigos por correspondencia, esto significaría que identificarían a otra persona que tiene los parámetros que concuerdan con su amigo, pero no es él. Quizá es un familiar, ¿quién sabe?

¿Por qué estoy explicando esto?

Bueno, ¿recuerdan la metáfora sobre la paleontología del principio? Esto es lo que he querido decir cuando escribí que a veces es imposible atrapar a los monstruos nuevos si no conocemos a los de ayer. Vale la pena. Pero hay otra razón por la que quiero hablar de cómo atrapamos a StoneDrill.

El hecho de que identificamos StoneDrill mientras buscábamos a Shamoon significa que ambos están diseñados y operan con un “estilo” muy parecido, aunque su código sea del todo diferente. Cuando digo “estilo”, me refiero a ciertos enfoques con los que el malware opera, se esconde de los software e investigadores de seguridad, etc. No es el tipo de parecido que se vería entre hermanos, sino el que encontrarías entre dos estudiantes que comparten profesor. O entre dos miembros del mismo club de amigos por correspondencia, si así lo prefieren.

En otras palabras, el parecido entre Shamoon y StoneDrill seguramente no sea una coincidencia. ¿Los escribió la misma persona? ¿Es StoneDrill una herramienta específica de los operadores de Shamoon? ¿O son dos bestias diferentes de dos delincuentes diferentes que han ido a las mismas escuelas de escritura de malware? No lo sabemos, todo es posible. Mientras tanto, seguimos investigando y presentaremos nuestros resultados en la próxima conferencia SAS.

Cuando nuestros chicos de GReAT investigaban el código de StoneDrill, empezaron a experimentar varios déjà vu: ¡ya habían visto muchas de esas líneas de código! ¿Dónde? En otra operación de ciberespionaje llamada Newsbeef (de la que hicimos una publicación el año pasado). Así pues, aquí tenemos otra variable de la ecuación: Newsbeef. ¿Es StoneDrill una herramienta que usan los operadores de Newsbeef con el fin de borrar datos? Repito, es una pregunta sin respuesta.

Si fuéramos expertos en geopolítica o filósofos, seguramente haríamos conjeturas según estas conexiones. Como una vez dijo Winnie the Pooh: “ese zumbido significa algo”.

Pero, por suerte, no somos expertos en geopolítica ni filósofos. Llevamos a cabo la difícil tarea de salvar el mundo de las ciberamenazas sin importar su origen o finalidad. La única razón por la que menciono las conexiones entre Shamoon, StoneDrill y Newsbeef es porque las hemos encontrado. Y, desde mi perspectiva, es una buena ilustración de la utilidad para las compañías o los gobiernos tener información profesional sobre amenazas para comprender lo que sucede. Ayuda a comprender. Y, cuando se comprenden las coss, nos podemos preparar mejor contara sus riesgos.

Esten atentos, lean a detalle los descubrimientos de nuestros investigadores en Securelist y, si les interesa saber más sobre amenazas de la mano de profesionales, no duden en suscribirse a nuestros informes APT.

Ahora le cedo el turno a los autores del descubrimiento de StoneDrill: el análisis de los detalles técnicos se puede encontrar aquí.

P.D.:

Si quieren que su equipo de seguridad pueda analizar malware tan profunda y profesionalmente como lo hace GReAT, envíenlos a nuestras sesiones de formación. La próxima tendrá lugar en la conferencia SAS-2017, a principios de abril; este año será en Sint-Maarten porque hace tiempo supimos que el Caribe es el mejor lugar para llevar a cabo charlas y formaciones sobre ciberseguridad. Reservenlo todo aquí y preparen las maletas (¡traje de baño incluido!).