Nový ničivý malware StoneDrill zničí všechna data

22. 3. 2017 v sekci Článek

Global Research and Analyst Team společnosti Kaspersky Lab objevil nový sofistikovaný wiper malware, označovaný jako StoneDrill. Stejně jako Shamoon, jiný nechvalně známý wiper, ničí v infikovaných počítačích veškeré složky. Ve svém arzenálu má navíc pokročilé technologie, které znesnadňují jeho detekci, a nástroje umožňující špionáž. Doposud StoneDrill útočil na cíle na Blízkém východě, ale jeden útok už byl detekován i v Evropě.

V roce 2012 wiper Shamoon (známý také jako Disttrack) způsobil velký poprask tím, že vyřadil z provozu okolo 35 000 počítačů jedné ropné a plynařské společnosti na Blízkém východě. Tento rozsáhlý útok ochromil a ohrozil 10 % světových ropných dodávek. Šlo však o ojedinělý útok, po kterém se pachatel v podstatě vytratil. Vynořil se znovu až na konci loňského roku s novou hrozbou Shamoon 2.0. Tato daleko rozsáhlejší zákeřná kampaň využívá vylepšenou verzi malwaru z roku 2012.

Experti Kaspersky Lab během prozkoumávání těchto útoků narazili na malware, který byl vytvořen v podobném „stylu“ jako Shamoon 2.0. Zároveň ale šlo o sofistikovanější verzi, než byl Shamoon. Hrozba byla nazvaná StoneDrill.

Doposud není jasné, jak se StoneDrill šíří, ale jakmile se do napadeného zařízení dostane, ihned pronikne do paměti uživatelova oblíbeného prohlížeče. V průběhu tohoto procesu využívá dvě propracované anti-emulační techniky s cílem obejít bezpečnostní řešení nainstalovaná na zařízení oběti. Malware následně začne ničit složky na pevném disku počítače.

Prozatím byly detekovány minimálně dva cíle StoneDrillu – jeden na Blízkém východě a druhý v Evropě. Kromě mazání obsahu pevného disku objevili experti Kaspersky Lab další funkci StoneDrillu – backdoor, zadní vrátka. S největší pravděpodobností byla vyvinuta stejnými programátory s cílem špionážního využití. Ačkoliv se Shamoon a StoneDrill nezakládají na zcela shodném kódu, způsob uvažování jejich autorů a programátorský „styl“ se zdají být velmi podobné. Díky tomu tak mohl být StoneDrill identifikován na základě pravidel Yara vyvinutých pro Shamoon.

Opatření pro maximální ochranu organizací:

  • Provést bezpečnostní zkoušku kontrolní sítě (například bezpečnostní audit, penetrační testy, analýzu trhlin) s cílem identifikovat a odstranit jakékoliv bezpečnostní trhliny. Prověření externích dodavatelů a bezpečnostních řešení třetích stran v případě, že mají přímý přístup do kontrolní sítě.

  • Vyžádat si externí poradenství – poradenství osvědčených společností pomáhá organizacím předpovídat budoucí útoky na průmyslovou infrastrukturu firmy.

  • Proškolte své zaměstnance, především pak obeznamte provozní a technický personál se současnými hrozbami a útoky.

  • Zaveďte ochranu uvnitř i vně firemního ochranného pásma. Patřičná bezpečnostní strategie vyžaduje značné náklady na detekci útoků a vypořádání se s nimi. Jedině tak ale může být útok zastaven ještě před tím, než zasáhne kriticky důležité objekty.

  • Zvažte pokročilé metody zabezpečení, které zahrnují pravidelné kontroly řídících pracovníků nebo speciální síťový monitoring. Zvýší se tím celková bezpečnost firmy a minimalizuje šance úspěšného narušení i v případě, že se objeví nějaká zranitelnost, která nemůže být okamžitě zazáplatována.

Více informací o Shamoon 2.0 a StoneDrill se dočtete v příspěvku na blogu Securelist.com.

Zdroj: Kaspersky Lab