„KasperskyLab“aptiko pavojingą neatkuriamai duomenis ištrinančią programą

Artimųjų Rytų ir Europos bendrovės buvo užpultos naujo sudėtingo viruso, naikinančio visus duomenis užkrėstame kompiuteryje. „KasperskyLab“aptiko programą naikintoją „StoneDrill“, kuri ne tik neatkuriamai pašalina duomenis iš įrenginio, bet ir šnipinėja aukas bei apdairiai vengia pakliūti į programinės apsaugos įrangos radarus.
„StoneDrill“ labai primena prieš penkerius metus pagarsėjusią analogišką programą „Shamoon“ (taip pat žinomą kaip „Disttrack“) – 2012 m. šis virusas paralyžiavo Artimųjų Rytų naftos ir dujų bendrovių 35 tūkst. kompiuterių darbą ir smogė didelei pasaulio naftos gavybos pramonės daliai. Po šio garsaus atvejo gruoputė, sukūrusi „Shamoon“, pasitraukė į šešėlį. Tačiau 2016 m. pabaigoje ji, panašu, grįžo, ir šį grįžimą tiriantys „KasperskyLab“ ekspertai rado naują žaidėją su nauju sudėtingu virusu ir gerokai didesniais tikslais.
Aptikti „StoneDrill“ pavyko taikant tikslinių išpuolių aptikimo taisykles („Yara“ taisykles), sukurtas „KasperskyLab“ ekspertų siekiant nustatyti „Shamoon“ nežinomus pavyzdžius. Ir nors „StoneDrill“ sukurtas „Shamoon“ stiliumi tarp abiejų programų yra didžiulis skirtumas.
Tyrėjai iki šiol nežino, kaip plinta šis virusas, bet tam, kad liktų nepastebėtas užkrėstame įrenginyje, jis taiko dvi sudėtingas antiemuliacines technikas, kurios neleidžia jo aptikti pagal elgesį. Kai tik „StoneDrill“ programa pakliūna į kompiuterį, ji įsidiegia į tos naršyklės, kuria įrenginyje naudojamasi dažniausiai, atmintį. Vos įsidiegęs virusas pradeda naikinti kietojo disko failus.
Be informaciją naikinančio modulio, „StoneDrill“ taip pat turi virusą šnipinėti aukas – „KasperskyLab“ ekspertai aptiko keturis valdymo serverius, su kuriais sukčiai sekė užkrėstuose įrenginiuose.
„Mes labai domimės tais panašumais, kuriuos aptikome tarp įvairių kenkėjiškų operacijų. Išnagrinėję dviejų programų kodus, matome, kad „Shamoon“ yra Jemeno arabų kalbos variantas, o „StoneDrill“ daugiau vartojama persų kalba. Geopolitikai galėtų įsivaizduoti, kad operacijas vykdo Irano ir Jemeno žaidėjai, siekiantys sukelti nuostolį Saudo Arabijos bendrovėms, kur ir buvo aptikta dauguma „StoneDrill“ ir „Shamoon“ išpuolių aukų. Tačiau neverta atmesti galimybės, kad visi kalbos požymiai kode palikti tyčia – nukreipti ekspertus neteisingu keliu. Be to, aptiktas „StoneDrill“Europoje liudija, kad grupuotė domisi ne tik Artimųjų Rytų regionu. Nors užpulta Europos bendrovė dirba naftos srityje, ji neturi jokių ryšių su naftos verslu Artimuosiuose Rytuose, – pasakoja Muchamadas Aminas Chasbini (Mohamad Amin Hasbini), „KasperskyLab“ tyrimo centro vyriausiasis antivirusų ekspertas.
Apie „Kaspersky Lab“
„Kaspersky Lab“ – pasaulinė kibernetinio saugumo bendrovė, įkurta 1997 m. Bendrovės sukauptos žinios apie grėsmes ir saugumą nuolat paverčiamos saugumo sprendimais ir paslaugomis, siekiant apsaugoti viso pasaulio ypatingos svarbos verslo infrastruktūras, vyriausybes ir naudotojus. Didelį bendrovės saugumo portfelį sudaro pirmaujanti „Endpoint Security“ klasės apsaugos sistema ir daugybė specializuotų apsaugos sprendimų bei paslaugų, skirtų kovoti su sudėtingomis skaitmeninėmis grėsmėmis. Daugiau nei 400 mln. naudotojų ir 270 tūkst. verslo klientų apsaugomi „Kaspersky Lab“ technologijų.
Išsamiai sužinokite www.kaspersky.com.