A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Inactivo durante cuatro años, uno de los más misteriosos wipers de la historia ha regresado.

También conocida como Disttrack, Shamoon es una familia de programas maliciosos altamente destructivos que eliminan toda la información en el equipo de la víctima. Los ataques de Shamoon 2.0 observados en noviembre de 2016 estaban destinados a organizaciones de diversos sectores de la infraestructura crítica y económica de Arabia Saudita. Al igual que la variante anterior, el wiper Shamoon 2.0 apunta a la destrucción masiva de los sistemas dentro de las organizaciones atacadas.

Los nuevos ataques comparten muchas similitudes con los de 2012 y ahora cuentan con nuevas herramientas y técnicas. Durante la primera etapa, los atacantes obtienen las credenciales de administrador de la red de la víctima. A continuación, construyen un wiper diseñado especialmente (Shamoon 2.0) para aprovechar estas credenciales y propagarse. Por último, en una fecha predefinida, el wiper se activa, inutilizando por completo las máquinas infectadas. Cabe señalar que las etapas finales de los ataques son completamente automatizadas, obviando la comunicación con el centro de mando.

Kaspersky Lab también descubrió otro programa malicioso wiper, StoneDrill, previamente desconocido que tiene varias similitudes con Shamoon, con múltiples factores y técnicas interesantes que permiten evitar su detección. Además de los presuntos objetivos en Arabia Saudita, se observó una víctima de StoneDrill en Europa. Esto hace creer que el responsable de la amenaza está expandiendo sus operaciones de eliminación desde el Medio Oriente a Europa.

Si desea consultar el informe técnico completo: https://securelist.com/files/2017/03/Report_Shamoon_StoneDrill_final.pdf