Uma nova campanha de Shamoon com Disttrack

Uma nova variante do malware Disttrack (W32.Disttrack.B) reapareceu este mês, afetando diferentes empresas do setor de petróleo e gás, dentro da já conhecida campanha Shamoon.

Neste caso, o Disttrack atua como um verme/cavalo de Troia/filerase. Ou seja, o malware é capaz de infetar massivamente os equipamentos localizados numa determinada rede local e, uma vez infetados, procede em primeiro lugar a “limpar-apagar” (wiper) os arquivos encontrados nesse equipamento, para, em seguida, reescrever o seu MBR (Master Boot Record).

O ataque mais recente teve como alvo uma empresa italiana de perfuração de petróleo e gás que operava no Médio Oriente e afetou cerca de 300 servidores e 100 PCs.

Este tipo de ataque e comportamento (infeção, eliminação de equipamentos e substituição de arquivos) é muito característico da campanha Shamoon. Podemos recordar como, entre 2012 e 2016, juntamente com as campanhas Duqu e Flame, a Shamoon realizou ações de sabotagem, roubo de informações e espionagem industrial a empresas do setor de petróleo e gás, como a Saudi Aramco ou a RasGas do Qatar. Calcula-se que, naquele momento, foram substituídas entre 30.000 e 50.000 workstations destas empresas.

O Disttrack é composto por três componentes:

• Dropper: A amostra de malware enviada para o VirusTotal inclui um dropper, que é o responsável por instalar o módulo de comunicações e o “wiper” no sistema alvo. Além disso, é o encarregado de propagar-se horizontalmente pela rede. Para isso, inicia sessão remotamente nos equipamentos localizados nessa rede e acede a eles através de utilizadores e palavras-passe, previamente roubadas.
• Wiper: é o componente (Trojan.Filerase) que realiza a eliminação de arquivos, substituindo-os por arquivos JPEG que representam a bandeira dos EUA incendiada.
• Communications ou Reporter: O módulo encarregado de comunicar com o C2 e, assim, poder receber todos os ficheiros eliminados.

Importa salientar que, durante os primeiros ataques de Shamoon, o Trojan.Filerase atuava e, após a realização de uma análise forense, era possível a recuperação dos arquivos. A última versão do Disttrack impossibilita esta recuperação.

Os principais vetores de ataque utilizados foram:

• A utilização de USB, que não foram previamente digitalizados.
• O acesso não seguro via RDP (Remote Desktop Protocol), ou seja, o acesso através de RDP sem que o protocolo de autenticação SMB tenha sido configurado corretamente.

O que recomendamos a partir da unidade de consultoria e engenharia em Cibersegurança Industrial da Logitek?

• Incorporar soluções de digitalização de dispositivos USB para ambientes OT.
• Fortalecer os equipamentos da rede OT, levando a cabo estratégias de defesa em profundidade.
• Formar e consciencializar os utilizadores sobre o uso correto de dispositivos de armazenamento externo.
• Incorporar soluções de deteção de intrusos e anomalias não invasivas específicas para ambientes industriais.

Se pretende que lhe contemos mais sobre as principais ameaças que podem afetar o seu ambiente industrial e/ou infraestrutura crítica e o que propomos para evitar ou minimizar os efeitos negativos que podem causar (perdas económicas, alteração de processos, danos à imagem de marca, danos pessoais), contacte-nos .

Referências: Enisa e Threat Vector