{"id":8981,"date":"2017-03-06T16:38:46","date_gmt":"2017-03-06T16:38:46","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=8981"},"modified":"2017-11-07T12:21:40","modified_gmt":"2017-11-07T18:21:40","slug":"stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/8981\/","title":{"rendered":"StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)"},"content":{"rendered":"

Si eres un lector asiduo del blog, conocer\u00e1s nuestro equipo GReAT (equipo de investigaci\u00f3n y an\u00e1lisis global)<\/a>, compuesto por m\u00e1s de 40 expertos en seguridad de todo el mundo especializados en la protecci\u00f3n de nuestros clientes contra las ciberamenazas sofisticadas. A los integrantes les gusta comparar su trabajo con la paleontolog\u00eda<\/a>: explorar la Deep web<\/i> en busca de \u201chuesos\u201d y \u201ccibermonstruos\u201d. Algunos considerar\u00e1n que este enfoque est\u00e1 pasado de moda: \u00bfqu\u00e9 tiene de especial analizar los \u201chuesos\u201d de las \u201ccriaturas\u201d del pasado cuando lo importante es proteger tus redes de los monstruos que viven hoy? Bueno, les contar\u00e9 una historia que demuestra que, a veces, no encontrar\u00e1n los monstruos de hoy si no es mirando a los de ayer\u2026<\/p>\n

Algunos de ustedes concoer\u00e1n a los llamados wipers<\/i><\/a>, un tipo de malware<\/i> que, una vez instalado en el PC atacado, elimina por completo la informaci\u00f3n que contiene y deja a su propietario con un hardware<\/i> con apenas utilidad. El wiper<\/i> m\u00e1s famoso (e infame) es Shamoon<\/a>, un malware<\/i> que en 2012 hizo mucho ruido en Oriente Medio al destruir la informaci\u00f3n de m\u00e1s de 30,000 equipos<\/a> de la mayor compa\u00f1\u00eda petrolera, Saudi Aramco, adem\u00e1s de atacar a un gigante energ\u00e9tico, Rasgas<\/a>. Imaginen eso: 30,000 sistemas inoperativos de la mayor compa\u00f1\u00eda petrolera del mundo\u2026<\/p>\n

Curiosamente, desde su devastadora campa\u00f1a de 2012 contra la compa\u00f1\u00eda saud\u00ed, poco se ha sabido de Shamoon, hasta que en 2016 volvi\u00f3 como Shamoon 2.0<\/a> con varias oleadas de ataques (de nuevo en Oriente Medio).<\/p>\n

Desde que empezaron las nuevas oleadas de ataques de Shamoon, hemos ajustado nuestros sensores para que busquen el mayor n\u00famero de versiones posibles de este malware<\/i> (porque, seamos sinceros, no queremos que NINGUNO de nuestros clientes tenga que enfrentarse NUNCA a un malware<\/i> como Shamoon). Y logramos encontrar varias versiones (\u00a1hurra!). Pero junto con nuestra captura, nuestros investigadores, de forma inesperada, captaron un tipo completamente nuevo de malware wiper<\/i> al que apodamos StoneDrill<\/i>.<\/p>\n

<\/p>\n

El c\u00f3digo base de StoneDrill es diferente del de Shamoon y, por eso, creemos que se trata de una familia de malware<\/i> completamente nueva; adem\u00e1s, utiliza algunas t\u00e9cnicas avanzadas que evitan la detecci\u00f3n, cosa que Shamoon no hace. Por eso, seguro que es un nuevo jugador. Y una de las cosas m\u00e1s inusuales (y preocupantes) que hemos aprendido de este malware<\/i> es que, a diferencia de Shamoon, StoneDrill no se limita a buscar v\u00edctimas en Arabia Saud\u00ed o pa\u00edses vecinos. Hasta ahora, hemos descubierto solo dos objetivos de este malware<\/i> y uno de ellos est\u00e1 en Europa.<\/p>\n

\u00bfPor qu\u00e9 es preocupante? Porque este descubrimiento indica que ciertos actores maliciosos con ciberherramientas devastadoras est\u00e1n comprobando el terreno de las regiones que anteriormente eran de poco inter\u00e9s para este tipo de actores.<\/p>\n

As\u00ed que este es mi consejo para las empresas europeas que pudieran ser de inter\u00e9s para los delincuentes de StoneDrill, o incluso Shamoon: preparen las defensas de sus redes para este tipo de amenazas. No es algo que pueda afectar solo a las empresas petroleras de Oriente Medio. Parece que ser\u00e1 global.<\/p>\n

Volviendo a la ciberpaleontolog\u00eda\u2026<\/p>\n

Antes he mencionado que descubrimos StoneDrill de forma inesperada mientras busc\u00e1bamos muestras de Shamoon. Claro que fue inesperado, pero no accidental\u2026<\/p>\n

Para encontrar variantes nuevas o similares de malware<\/i> conocido, nuestros investigadores (entre otras herramientas), utilizan reglas YARA<\/a>. Una herramienta espec\u00edfica que permite configurar diferentes par\u00e1metros de b\u00fasqueda que se filtran con nuestras bases de datos de malware<\/i>.<\/p>\n

Traducir a lenguaje humano el proceso de caza de malware<\/i> con las reglas YARA es como buscar una cara en concreto entre una multitud sin conocer dicha cara. Imagina que tienes un amigo por correspondencia y, tras a\u00f1os de e-mails, deciden conocerse (en una estaci\u00f3n de tren abarrotada). Pero, como decidieron no enviarse nunca una foto (no nos enviemos fotos, \u00a1ser\u00e1 divertido\/misterioso!), no conocen la apariencia del otro; solo saben algunos detalles, como la edad, altura, composici\u00f3n corporal, color del pelo, color de los ojos y, quiz\u00e1, el tipo de ropa que suelen llevar. As\u00ed que, en esa estaci\u00f3n llena de gente, se podr\u00edan encontrar con alguien que concuerde con esas descripciones de los rasgos f\u00edsicos del otro, pero no sabr\u00e1n si es el otro hasta que empiecen a hablar.<\/p>\n

Bueno, lo mismo sucedi\u00f3 con StoneDrill.<\/p>\n

Nuestros investigadores identificaron algunos par\u00e1metros \u00fanicos de las \u00faltimas versiones de Shamoon. Bas\u00e1ndose en dichos par\u00e1metros, nuestros chicos crearon algunas reglas YARA, iniciaron la b\u00fasqueda y analizaron los resultados. Luego, encontraron una muestra que coincidi\u00f3 con los par\u00e1metros de Shamoon; sin embargo, tras analizarla detenidamente, qued\u00f3 claro que el nuevo malware<\/i> encontrado no era Shamoon, sino una familia totalmente nueva de malware wiper<\/i>.<\/p>\n

De acuerdo con nuestro ejemplo de los amigos por correspondencia, esto significar\u00eda que identificar\u00edan a otra persona que tiene los par\u00e1metros que concuerdan con su amigo, pero no es \u00e9l. Quiz\u00e1 es un familiar, \u00bfqui\u00e9n sabe?<\/p>\n

\u00bfPor qu\u00e9 estoy explicando esto?<\/p>\n

Bueno, \u00bfrecuerdan la met\u00e1fora sobre la paleontolog\u00eda del principio? Esto es lo que he querido decir cuando escrib\u00ed que a veces es imposible atrapar a los monstruos nuevos si no conocemos a los de ayer. Vale<\/i> la pena. Pero hay otra raz\u00f3n por la que quiero hablar de c\u00f3mo atrapamos a StoneDrill.<\/p>\n

El hecho de que identificamos StoneDrill mientras busc\u00e1bamos a Shamoon significa que ambos est\u00e1n dise\u00f1ados y operan con un \u201cestilo\u201d muy parecido, aunque su c\u00f3digo sea del todo diferente. Cuando digo \u201cestilo\u201d, me refiero a ciertos enfoques con los que el malware<\/i> opera, se esconde de los software<\/i> e investigadores de seguridad, etc. No es el tipo de parecido que se ver\u00eda entre hermanos, sino el que encontrar\u00edas entre dos estudiantes que comparten profesor. O entre dos miembros del mismo club de amigos por correspondencia, si as\u00ed lo prefieren.<\/p>\n

En otras palabras, el parecido entre Shamoon y StoneDrill seguramente no<\/b> sea una coincidencia. \u00bfLos escribi\u00f3 la misma persona? \u00bfEs StoneDrill una herramienta espec\u00edfica de los operadores de Shamoon? \u00bfO son dos bestias diferentes de dos delincuentes diferentes que han ido a las mismas escuelas de escritura de malware<\/i>? No lo sabemos, todo es posible. Mientras tanto, seguimos investigando y presentaremos nuestros resultados en la pr\u00f3xima conferencia SAS<\/a>.<\/p>\n

Cuando nuestros chicos de GReAT investigaban el c\u00f3digo de StoneDrill, empezaron a experimentar varios d\u00e9j\u00e0 vu<\/i>: \u00a1ya hab\u00edan visto muchas de esas l\u00edneas de c\u00f3digo! \u00bfD\u00f3nde? En otra operaci\u00f3n de ciberespionaje llamada Newsbeef (de la que hicimos una publicaci\u00f3n<\/a> el a\u00f1o pasado). As\u00ed pues, aqu\u00ed tenemos otra variable de la ecuaci\u00f3n: Newsbeef. \u00bfEs StoneDrill una herramienta que usan los operadores de Newsbeef con el fin de borrar datos? Repito, es una pregunta sin respuesta.<\/p>\n

<\/p>\n

Si fu\u00e9ramos expertos en geopol\u00edtica o fil\u00f3sofos, seguramente har\u00edamos conjeturas seg\u00fan estas conexiones. Como una vez dijo Winnie the Pooh: \u201cese zumbido significa algo\u201d.<\/p>\n

Pero, por suerte, no somos expertos en geopol\u00edtica ni fil\u00f3sofos. Llevamos a cabo la dif\u00edcil tarea de salvar el mundo de las ciberamenazas sin importar su origen o finalidad. La \u00fanica raz\u00f3n por la que menciono las conexiones entre Shamoon, StoneDrill y Newsbeef es porque las hemos encontrado. Y, desde mi perspectiva, es una buena ilustraci\u00f3n de la utilidad para las compa\u00f1\u00edas o los gobiernos tener informaci\u00f3n profesional sobre amenazas para comprender lo que sucede. Ayuda a comprender. Y, cuando se comprenden las coss, nos podemos preparar mejor contara sus riesgos.<\/p>\n

Esten atentos, lean a detalle los descubrimientos de nuestros investigadores en Securelist y, si les interesa saber m\u00e1s sobre amenazas de la mano de profesionales, no duden en suscribirse a nuestros informes APT<\/a>.<\/p>\n

Ahora le cedo el turno a los autores del descubrimiento de StoneDrill: el an\u00e1lisis de los detalles t\u00e9cnicos se puede encontrar aqu\u00ed<\/a>.<\/p>\n

P.D.:<\/p>\n

Si quieren que su equipo de seguridad pueda analizar malware<\/i> tan profunda y profesionalmente como lo hace GReAT, env\u00edenlos a nuestras sesiones de formaci\u00f3n. La pr\u00f3xima tendr\u00e1 lugar en la conferencia SAS-2017<\/a>, a principios de abril; este a\u00f1o ser\u00e1 en Sint-Maarten porque hace tiempo supimos<\/a> que el Caribe es el mejor lugar para llevar a cabo charlas y formaciones sobre ciberseguridad. Reservenlo todo aqu\u00ed<\/a> y preparen las maletas (\u00a1traje de ba\u00f1o incluido!).<\/p>\n","protected":false},"excerpt":{"rendered":"

Eugene Kaspersky nos cuenta c\u00f3mo GReAT ha descubierto un nuevo tipo de malware.<\/p>\n","protected":false},"author":13,"featured_media":8983,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2737],"tags":[946,34],"class_list":{"0":"post-8981","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"tag-ciberguerra","9":"tag-malware-2"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/8981\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/10177\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9897\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9873\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/14828\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ciberguerra\/","name":"ciberguerra"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=8981"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8981\/revisions"}],"predecessor-version":[{"id":9241,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8981\/revisions\/9241"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/8983"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=8981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=8981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=8981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}