Descubren un malware capaz de destruir todo lo que se encuentra en el equipo infectado

Se llama StoneDrill y es un wiper sofisticado que, además de atacar en Oriente Medio con capacidades de borrado y espionaje, se dirige a Europa.

Kaspersky Lab ha advertido sobre la existencia de un nuevo malware wiper que, como ya venía haciendo Shamoon, es capaz de colarse en equipos informáticos y destruir todo lo que contienen. Se trata de StoneDrill.

Shamoon saltó a la fama hace unos años cuando tumbó alrededor de 35.000 ordenadores de una empresa petrolífera de Oriente Medio. Desde entonces ha ido evolucionando. StoneDrill sería similar en ciertos aspectos al nuevo Shamoon 2.0, aunque desde Kaspesky Lab lo consideran incluso más sofisticado. “Dispone de avanzadas técnicas anti detección y espionaje”, según explican los expertos.

Aunque se desconoce cuál es su método de propagación sí se sabe cómo procede una vez en su destino. Lo que hace es alojarse en el proceso de memoria del buscador que utiliza el usuario y aplica técnicas “anti emulación” para evitar las soluciones de seguridad y destruir los archivos contenidos en los discos. Su módulo de borrado va acompañado por un backdoor que sirve para espiar, en combinación con cuatro paneles de comando y control.

Los expertos dicen que, además de atacar en Oriente Medio, este nuevo wiper también se dirige a Europa. Esto es algo que hasta ahora nunca había pasado con este tipo de malware. Además, StoneDrill parece estar conectado a otros wipers y campañas de espionaje. Por ejemplo, aprovecha partes de código de NewsBeef APT o Charming Kitten.

“Estamos muy intrigados por los parecidos y las comparaciones”, comenta Mohamad Amin Hasbini, analista sénior de seguridad, del equipo mundial de análisis e investigación de Kaspersky Lab, que se pregunta si “StoneDrill es fruto del mismo sujeto detrás de Shamoon”, si “StoneDrill y Shamoon tienen detrás a dos grupos distintos y no conectados que pretenden ambos atacar a entidades sauditas” o si “son dos grupos distintos, pero perfectamente alineados en sus objetivos”.

“Probablemente esta última posibilidad sea la más plausible”, determina Hasbini, “ya que mientras que Shamoon incluye secciones escritas en árabe, StoneDrill lo hace en persa. Los analistas geopolíticos rápidamente comentarían que tanto Irán como Yemen son actores en el cercano conflicto entre Irán y Arabia Saudita, y Arabia Saudita en el país donde más víctimas de este malware han sido identificadas”, añade. “Pero por supuesto, esto no excluye la posibilidad de que estos objetos sean simplemente unos señuelos”.

Dese Kaspersky Lab aconsejan a las empresas que se protejan formando a sus empleados, aplicando medidas de protección dentro y fuera del perímetro, con métodos avanzados, comprobando la seguridad de la red de control y solicitando información a equipos de respuesta ante emergencias.