Onderzoekers van beveiligingsbedrijf Kaspersky hebben een nieuwe variant van de Shamoon-malware ontdekt, die in 2012 actief werd gebruikt bij doelwitten in Saoedi-Arabië. De ontdekte versie heeft de naam StoneDrill gekregen en heeft verschillende nieuwe eigenschappen.

Kasperksy heeft een blogpost aan de nieuwe variant gewijd en heeft verdere informatie in een rapport opgenomen. Daarin gaat het in op de verschillen tussen de Shamoon- en de StoneDrill-versies. De Shamoon-malware, die ook wel Disttrack heet en in 2012 onder andere een Saoedi-Arabisch energiebedrijf trof, is in november en januari gebruikt om nieuwe aanvallen in dezelfde regio uit te voeren. Deze malware heeft de naam Shamoon 2.0 gekregen. Tijdens het onderzoek naar deze variant stootte Kaspersky op de StoneDrill-malware, die ook bij een doelwit in Europa is waargenomen.

De twee nieuwe varianten hebben enkele overeenkomstige eigenschappen. Zo gaat het in beide gevallen om versleutelde malware die een systeem infecteert en op zoek gaat naar beheerdersrechten op het netwerk om zich verder te verspreiden. Daarna activeert de kwaadaardige software een wiper, die geïnfecteerde systemen volledig onbruikbaar maakt. Daarnaast zijn de malwaresamples rond dezelfde periode in 2016 gecompileerd.

Verschillen zijn dat Shamoon 2.0 een ransomwaremodule bevat, die momenteel nog niet werkzaam is, maar dat in de toekomst wel kan worden. StoneDrill maakt op zijn beurt gebruik van geavanceerde technieken om detectie te voorkomen en maakt geen gebruik van een driver om systemen te wissen. In plaats daarvan wordt de wiper direct in het geheugen van de standaardbrowser van het doelwit geïnjecteerd. Daardoor is deze versie niet in staat tot raw disk wiping, maar beperkt ze zich tot bestanden die voor de gebruiker toegankelijk zijn. StoneDrill maakt verbinding met c2-servers, terwijl de recentste versie van Shamoon 2.0 niet communiceert met de aanvallers. Daarnaast verschilt de taal die in de malwarecomponenten is gebruikt.

Door deze overeenkomsten en verschillen komt Kaspersky tot de conclusie dat de malware afkomstig is van verschillende groepen die soortgelijke doelstellingen hebben, hoewel andere scenario's mogelijk zijn. De organisatie omschrijft Shamoon als een flashy tool, die in geïsoleerde incidenten wordt gebruikt, terwijl StoneDrill samen met de NewsBeef-aanvallen blijk geeft van een blijvende focus op doelwitten in Saoedi-Arabië. Dat StoneDrill bij een petrochemisch bedrijf in Europa zonder connectie tot de regio is ontdekt, kan een aanwijzing zijn dat de personen erachter zich op nieuwe doelwitten richten.

Reacties mogelijk gemaakt door CComment