Hace unos meses hablábamos aquí mismo del borrado seguro de discos duros. Para quienes no sepan de qué se trata, a grandes rasgos se puede definir como pasar una capa de ceros por la superficie del disco después de formatearlo para impedir que se puedan recuperar datos, dejándolo totalmente vacío.
Algo parecido es lo que hace un nuevo malware conocido como StoneDrill, según han publicado en Ars Technica. Hasta ahora los virus de este tipo sólo se habían visto en Oriente Medio, pero una infección con esta amenaza ha sido detectada por parte de inverstigadores de Kaspersky en una petrolera europea, donde nunca antes habían llegado.
El malware se cuela en la red objetivo y roba las credenciales del administrador. A partir de ahí, los atacantes pueden crear un _wiper_ o "borrador" específico que, cuando han logrado su propósito, borra el disco por completo añadiendo una capa de ceros, imposibilitando la recuperación de datos. En el proceso, dejan el ordenador infectado imposible de usar. Lo que todavía no han conseguido descubrir es cómo se propaga esta amenaza.
Al parecer, StoneDrill es un derivado de otro malware similar conocido como Shamoon, que en 2012 fijaba como objetivo una empresa de gas natural saudí en la que dejaría 35.000 ordenadores totalmente vacíos. Después de eso, esta ciberamenaza desapareció en la oscuridad y nunca se volvió a saber de ella.
Al menos, hasta hace poco tiempo. El pasado mes de noviembre Shamoon reaparecía, con dos nuevos ataques. En el análisis que los investigadores llevaron a cabo de la herramienta se encontraron nuevas técnicas y herramientas, entre las que se encontraba un módulo de ransomware totalmente funcional y un nuevo set de funciones para sistemas de 32 y 64 bits.
StoneDrill como spin-off de Shamoon
Al parecer y según el medio, StoneDrill tiene las mismas características que este Shamoon reinterpretado, y a ellas hay que añadir la capacidad de evitar la detección renunciando al uso de drivers de disco. Para conseguirlo, inyecta en el sistema un módulo de borrado seguro en la parte de la memoria que se asocia con el navegador del usuario.
Por si fuera poco, el malware también incorpora funciones de espionaje por medio de puertas traseras. Entre ellas, los investigadores de Kaspersky encontraron cuatro paneles command-and-control para robar datos de un número desconocido de objetivos. Todo esto viene, al parecer, de código reutilizado de otro malware usado en una campaña mundial conocida como NewsBeef.
De todo esto se deduce que también cuenta con características de NewsBeef como obtención de la huella digital del navegador, la capacidad de recolectar sitios visitados y extensiones instaladas y, además, módulos para realizar ingeniería social con las víctimas. Recordamos que con esta práctica se pretende que las víctimas cedan información sensible al atacante de form avoluntaria.
Por ahora, aparte del código reutilizado, los investigadores no saben qué relación tienen Shamoon y StoneDrill. La más plausible según el medio es que se trate de dos grupos de hackers distintos, que se han aliado debido a que comparten "intereses similares".
Vía | Ars Technica
En Genbeta | Kaspersky: "Hay más malware chino, pero es el ruso el que debe preocuparnos"
Ver 8 comentarios
8 comentarios
rubbermn
¿por que les siguen llamando virus a algo que no se comporta como tal?
lamarse35
pero lo que hace este virus es eliminar el sistema operativo y los documentos, pero el ordenador no hay que tirarlo a la basura. Te quedas bien jodido, eso sí, pero se da formato nuevamente, se instalan programas y de ahí se hecha mano de la copia de seguridad para el caso (pues siempre hay que tener de 3 tipos, que uno te vale para este tipo de ataque) y listos, aquí no ha pasado nada.
Es que, me pongo a leer el titular, y empiezo a leer el articulo y me da la sensación que después de este virus me he de comprar un ordenador nuevo, y eso no es así.
Lo que destruye no es el ordenador en si, sino los documentos y archivos que lleva dentro, así como programas y sistema operativo. Es que, no es lo mismo.
ranfla92
pensé lo mismo que los demás ... en estos días ya no es como "ohhh se me borro todo" en tiempos de diskettes ahi si la tenias jodido para formatear XD pero en estos tiempos es algo fácil ademas de que es mas normal que se hagan un respaldo y se guarden cosas en la nube
Demux11
Vamos, es un virus de la vieja escuela que solo sirven para sabotear PCs, no como los actuales ramsonwares que te piden hasta la sangre de una virgen si quieres (supuestamente) tener de vuelta tus archivos.
En todo caso no deja totalmente la PC "inservible" como está dando a decir este articulo que la PC quede totalmente inutilizable. Se puede reinstalar de nueva cuenta el SO aunque ya no sea posible recuperar la informacion... al menos que seas un pobre mortal que apenas sabes usar el Word.