Malware destrutivo StoneDrill chega à Europa

Este malware é semelhante ao Shamoon que, em 2012, se tornou famoso ao infetar cerca de 35.000 computadores de uma companhia petrolífera do Médio Oriente. O ataque colocou em perigo cerca de 10% do fornecimento mundial de petróleo.

A equipa de análise e investigação da Kaspersky Lab (GREAT) ainda não conseguiu descobrir como se propaga o StoneDrill, mas sabe que, após entrar no equipamento infetado, o malware aloja-se no processador de memória do motor de busca preferido do utilizador. Até agora foram identificados dois casos do wiper StoneDrill, um no Médio Oriente e outro na Europa.

Além disso, os analistas encontraram uma backdoor do StoneDrill que aparentemente foi desenvolvido pelos mesmos programadores e que é utilizado para espiar.

Quando os investigadores da empresa descobriram o StoneDrill, graças à ajuda das regras Yara criadas para identificar amostras desconhecidas de Shamoon, verificaram que StoneDrill utiliza alguns fragmentos do código encontrado na NewsBeef APT, também conhecido como Charming Kitten, outra campanha maliciosa muito ativa nos últimos anos.

“Estamos muito intrigados pelas parecenças e comparações entre estas três operações. Será que o StoneDrill é fruto do mesmo sujeito por trás de Shamoon? Ou, quem sabe StoneDrill e Shamoon têm por trás dois grupos distintos e nenhuma conexão em comum mas pretendem ambos atacar entidades sauditas? Ou pertencem a dois grupos distintos perfeitamente alinhados nos seus objetivos? Provavelmente esta última possibilidade será a mais plausível uma vez que, enquanto o Shamoon inclui secções escritas em árabe, StoneDrill tem-nas em persa. Os analistas geopolíticos rapidamente comentariam que tanto o Irão como o Iémen são atores no conflito entre Irão e Arabia Saudita, e a Arabia Saudita é o país onde mais vítimas deste malware foram identificadas. No entanto, isto não exclui a possibilidade de que estes alvos sejam simplesmente iscos”, indicou, em comunicado, Mohamad Amin Hasbini, analista sénior de segurança da equipa mundial de análise e investigação da Kaspersky Lab.

Para proteger adequadamente as organizações deste tipo de ataques, os especialistas de segurança da Kaspersky Lab recomendam:

• Que se realize um teste de segurança à rede de controlo (p. ex.: auditoria de segurança, teste de penetração, análise de anomalias), de forma a identificar e eliminar quaisquer falhas de segurança. Será necessário rever as políticas de segurança de terceiros e fornecedores externos que tenham acesso direto à rede de controlo;

• Que se solicitem informações exteriores: os fabricantes ajudam as organizações com informações de forma a prevenir possíveis ataques futuros às infraestruturas industriais da empresa. Os equipamentos de resposta de emergência fornecem informação gratuita transversal a todos os mercados;

• Que se aposte na formação de colaboradores, dedicando especial atenção aos equipamentos de engenharia e operações e ao conhecimento dos mais recentes ataques e ameaças;

• Dispor da proteção adequada dentro e fora das instalações. Uma estratégia adequada de segurança precisa de recursos suficientes para detetar e responder a tempo aos ataques, antes que alcancem algum alvo importante;

• Avaliar métodos avançados de proteção, incluindo verificações regulares de segurança para controladores e monitorização especializada de rede, que permitam aumentar a segurança global da empresa e reduzir as possibilidades de falha, incluindo se algum dos nós vulneráveis não pode ser reparado ou eliminado.