Hace unos meses hablábamos aquí mismo del borrado seguro de discos duros. Para quienes no sepan de qué se trata, a grandes rasgos se puede definir como pasar una capa de ceros por la superficie del disco después de formatearlo para impedir que se puedan recuperar datos, dejándolo totalmente vacío.
Algo parecido es lo que hace un nuevo malware conocido como StoneDrill, según han publicado en Ars Technica. Hasta ahora los virus de este tipo sólo se habían visto en Oriente Medio, pero una infección con esta amenaza ha sido detectada por parte de inverstigadores de Kaspersky en una petrolera europea, donde nunca antes habían llegado.
El malware se cuela en la red objetivo y roba las credenciales del administrador. A partir de ahí, los atacantes pueden crear un _wiper_ o "borrador" específico que, cuando han logrado su propósito, borra el disco por completo añadiendo una capa de ceros, imposibilitando la recuperación de datos. En el proceso, dejan el ordenador infectado imposible de usar. Lo que todavía no han conseguido descubrir es cómo se propaga esta amenaza.
Al parecer, StoneDrill es un derivado de otro malware similar conocido como Shamoon, que en 2012 fijaba como objetivo una empresa de gas natural saudí en la que dejaría 35.000 ordenadores totalmente vacíos. Después de eso, esta ciberamenaza desapareció en la oscuridad y nunca se volvió a saber de ella.
Al menos, hasta hace poco tiempo. El pasado mes de noviembre Shamoon reaparecía, con dos nuevos ataques. En el análisis que los investigadores llevaron a cabo de la herramienta se encontraron nuevas técnicas y herramientas, entre las que se encontraba un módulo de ransomware totalmente funcional y un nuevo set de funciones para sistemas de 32 y 64 bits.
StoneDrill como spin-off de Shamoon
Al parecer y según el medio, StoneDrill tiene las mismas características que este Shamoon reinterpretado, y a ellas hay que añadir la capacidad de evitar la detección renunciando al uso de drivers de disco. Para conseguirlo, inyecta en el sistema un módulo de borrado seguro en la parte de la memoria que se asocia con el navegador del usuario.
Por si fuera poco, el malware también incorpora funciones de espionaje por medio de puertas traseras. Entre ellas, los investigadores de Kaspersky encontraron cuatro paneles command-and-control para robar datos de un número desconocido de objetivos. Todo esto viene, al parecer, de código reutilizado de otro malware usado en una campaña mundial conocida como NewsBeef.
De todo esto se deduce que también cuenta con características de NewsBeef como obtención de la huella digital del navegador, la capacidad de recolectar sitios visitados y extensiones instaladas y, además, módulos para realizar ingeniería social con las víctimas. Recordamos que con esta práctica se pretende que las víctimas cedan información sensible al atacante de form avoluntaria.
Por ahora, aparte del código reutilizado, los investigadores no saben qué relación tienen Shamoon y StoneDrill. La más plausible según el medio es que se trate de dos grupos de hackers distintos, que se han aliado debido a que comparten "intereses similares".
Vía | Ars Technica
En Genbeta | Kaspersky: "Hay más malware chino, pero es el ruso el que debe preocuparnos"
Ver todos los comentarios en https://www.genbeta.com
VER 8 Comentarios