{"id":9873,"date":"2017-03-06T12:49:30","date_gmt":"2017-03-06T12:49:30","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=9873"},"modified":"2017-09-27T15:29:43","modified_gmt":"2017-09-27T13:29:43","slug":"stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9873\/","title":{"rendered":"StoneDrill: Wir haben eine m\u00e4chtige neue Shamoom-Wiper-Malware entdeckt\u2013 und diesmal wird es ernst."},"content":{"rendered":"

Falls Sie ein treuer Leser meines Blogs hier sind, kennen Sie unsere GReAT\u2013Team<\/a> (Global Research and Analysis Team)\u00a0\u2013 40+ erstklassige Sicherheitsexperten, die \u00fcber die ganze Welt verteilt und darauf spezialisiert sind, unsere Kunden vor den anspruchsvollsten Cyberbedrohungen zu besch\u00fctzen. Die GReAT-Experten vergleichen ihre Arbeit gerne mit der Pal\u00e4ontologie<\/a>: Sie durchsuchen das tiefgehende Netz nach \u201eKnochen\u201c von \u201eCyber-Monstern\u201c. Manche k\u00f6nnten dies f\u00fcr einen veralteten Ansatz halten: Was ist so besonders daran, die \u201eKnochen\u201c von \u201eKreaturen\u201c aus der Vergangenheit zu analysieren, wenn es darum geht, die Netzwerke vor den aktuellen Monstern zu sch\u00fctzen? Na ja, hier ist eine neue Geschichte die zeigt, dass man manchmal die derzeit lebendigen Monster nicht findet, ohne die alten zu untersuchen\u2026<\/p>\n

#StoneDrill: Wir haben eine m\u00e4chtige neue Shamoom-Wiper-Malware entdeckt\u2013 und diesmal wird es ernst.<\/p>Tweet<\/a><\/blockquote>\n

Einige von Ihnen kennen die sogenannten Wiper<\/a>\u00a0\u2013 eine Art von Malware, die, sobald sie installiert wird, den PC angreift und komplett alle Daten auf diesem l\u00f6scht, wodurch der Besitzer des Computers mit einem vollst\u00e4ndig ges\u00e4uberten, kaum funktionsf\u00e4higen St\u00fcck Hardware zur\u00fcckbleibt. Der ber\u00fchmteste (und ber\u00fcchtigtste) Wiper ist\u00a0Shamoon<\/a>\u00a0\u2013 eine Malware, die 2012 im Mittleren Osten f\u00fcr Aufsehen sorgte, da sie Daten auf 30.000+ Knotenpunkten<\/a>\u00a0von einer der gr\u00f6\u00dften \u00d6lfirmen der Welt, Saudi Aramco, zerst\u00f6rte und auch einen anderen Energiegiganten, Rasgas<\/a>, angriff. Stellen Sie sich das nur vor: 30.000+ Teile nicht funktionsf\u00e4higer Hardware der weltweit gr\u00f6\u00dften \u00d6lfirma\u2026<\/p>\n

Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. Die Wiper breiten sich weltweit auss.<\/div>\n

Seltsamerweise h\u00f6rte man seit der zerst\u00f6rerischen Kampagne gegen die saudische Firma 2012 wenig von Shamoon, bis die Malware im Jahre 2016 als Shamoon 2.0<\/a>, mit verschiedenen neuen Attacken gegen den Mittleren Osten, wiederkehrte.<\/p>\n

Seit Beginn der neuen Angriffe haben wir versucht, so viele Versionen wie m\u00f6glich von dieser Malware zu finden (weil wir eben nicht wollen, dass EINER unserer Kunden JEMALS von einer Malware wie Shamoon angegriffen wird). Wir schafften es, verschiedenen Versionen zu finden\u2013 Hurra! Aber zusammen mit unserer Beute aus Shamoonern, ging uns unverhofft eine vollst\u00e4ndig neue Art von Wiper Malware, die wir StoneDrill<\/em> genannt haben, ins Netz.<\/p>\n

<\/p>\n

Die Code-Basis von StoneDrill ist anders als die von Shamoon, daher gehen wir davon aus, dass es sich um eine komplett neue Malwarefamilie handelt; es verwendet au\u00dferdem fortschrittliche Techniken um zu vermeiden, entdeckt zu werden, die Shamoon nicht hat. Daher handelt es sich um einen neuen Mitspieler, das ist sicher. Und einer der ungew\u00f6hnlichsten und beunruhigtesten Aspekte dieser Malware ist, dass StoneDrill, anders als Shamoon, sich nicht darauf beschr\u00e4nkt, Ziele in Saudi-Arabien oder den Nachbarl\u00e4ndern anzugreifen. Wir haben bisher nur zwei Angriffsziele dieser Malware gefunden, aber eines von beiden befindet sich in Europa.<\/p>\n

Warum ist das beunruhigend? Weil es zeigt, dass bestimmte b\u00f6sartige Akteure, die mit zerst\u00f6rerischen Cyber-Tools bewaffnet sind, das Terrain in Regionen erkunden, die fr\u00fchere Akteure dieser Art kaum interessiert haben.<\/p>\n

Wir untersuchten Shamoon und entdeckten StoneDrill. Wir untersuchten StoneDrill und fanden eine zusammenh\u00e4ngende Cyberkrieg-Operation<\/div>\n

Daher ist meine Empfehlung an Unternehmen in Europa, die f\u00fcr die Akteure, die hinter StoneDrill oder vielleicht sogar Shamoon stecken, interessant sein k\u00f6nnten: Bereiten Sie Ihre Verteidigung gegen diese Art von Bedrohung f\u00fcr Ihr Netzwerk \u00e4u\u00dferst gr\u00fcndlich vor. Es handelt sich nicht mehr um etwas, was ausschlie\u00dflich \u00d6l- und Gasfirmen im Mittleren Osten betrifft. Es scheint global zu werden.<\/p>\n

Zur\u00fcck zu Cyber-Pal\u00e4ontologie\u2026<\/p>\n

Ich habe vorher erw\u00e4hnt, dass wir unerwartet StoneDrill entdeckten, als wir nach Beispielen von Shamoon suchten. Es war auf jeden Fall unerwartet, aber kein Zufall\u2026<\/p>\n

Um neue oder \u00e4hnliche Varianten bekannter Malware zu finden, verwenden unsere Experten (mit anderen Tools zusammen) YARA<\/a>-Regeln. Diese bilden ein spezielles Tool, dass es uns erm\u00f6glicht, verschiedene Suchparameter festzulegen, und unsere Malware-Datenbank mithilfe dieser Regeln zu durchsuchen.<\/p>\n

Aus menschlicher Sicht ist das Verfahren zur Suche nach Malware mit YARA-Regeln so, als ob man ein bestimmtes Gesicht in einer Menschenmenge sucht, ohne es zu kennen. \u00a0Stellen Sie sich vor, dass Sie einen Brieffreund haben. Nach Jahren voller Briefen <\/span>E-Mails zwischen Ihnen, beschlie\u00dfen Sie, sich zu treffen und zwar auf einem \u00fcberf\u00fcllten Bahnhof. Aber da Sie beschlossen hatten, nie ein Foto an den Anderen zu schicken (\u201eKomm, wir schicken uns keine Fotos voneinander. Da ist lustiger\/spannender!\u201c), wissen Sie sich, wie Ihr Brieffreund aussieht. Das Einzige, was Sie wissen, sind ein paar Details wie sein Alter, seine Gr\u00f6\u00dfe, sein K\u00f6rperbau, seine Haarfarbe, Augenfarbe und vielleicht die Art der Kleidung, die er normalerweise tr\u00e4gt. Also treffen Sie vielleicht auf dem \u00fcberf\u00fcllten Bahnhof jemanden, der alle k\u00f6rperlichen Aspekte Ihres Brieffreundes erf\u00fcllt, aber Sie werden nicht wissen, ob er es wirklich ist, bis Sie nicht mit ihm geredet haben. Das ist ungef\u00e4hr das, was mit StoneDrill passiert ist.<\/p>\n

Unsere Experten fanden einige einzigartige Parameter der neuesten Version von Shamoon. Basierend auf diesen Parametern schufen unsere Jungs einige YARA-Regeln, dr\u00fcckten auf die Suchtaste und analysierten danach den Fang. Anschlie\u00dfend fanden sie ein Beispiel, das den Parametern von Shamoo entsprach; nachdem man es n\u00e4her betrachtete, war klar, dass die neu gefundene Malware nicht Shamoon war, sondern dass es sich um eine komplett neue Wiper-Malwarefamilie handelte.<\/p>\n

Zur\u00fcck zu unserem Beispiel mit den Brieffreunden: Das hei\u00dft, dass Sie jemand anderen identifiziert haben, dessen Parameter mit denen Ihres Brieffreundes \u00fcbereinstimmen, der aber nicht Ihr Brieffreund ist. Vielleicht handelt es sich um einen Verwandten von Ihrem Brieffreund, wer wei\u00df?<\/p>\n

Warum erkl\u00e4re ich das hier?<\/p>\n

Na ja, erinnern Sie sich an die Metapher der Pal\u00e4ontologie am Anfang des Posts? Das meinte ich damit, dass es manchmal unm\u00f6glich ist, neue Monster zu fangen ohne alles \u00fcber die alten zu wissen. Sehen Sie, es lohnt sich<\/em> ).<\/p>\n

Aber es gibt einen anderen Grund, warum ich dar\u00fcber reden m\u00f6chte, wie wir StoneDrill entdeckt haben.<\/p>\n

Die Tatsache, dass wir StoneDrill identifiziert haben, als wir nach Shamoon suchten, bedeutet, dass beide in fast demselben \u201eStil\u201c aufgebaut und verwendet werden, auch wenn ihre Codes vollkommen unterschiedlich sind. Wenn ich \u201eStil\u201c sage, beziehe ich mich auf bestimmte Ans\u00e4tze dar\u00fcber, wie die Malware funktioniert, sich selbst sowohl vor Sicherheitssoftware als auch Experten versteckt usw. Dies ist nicht die Art an \u00c4hnlichkeiten, die man z.B. zwischen zwei Br\u00fcdern findet, sondern die, die man zwischen zwei Sch\u00fclern desselben Lehrers findet oder zwischen zwei Mitgliedern desselben Brieffreundeclubs, falls Sie es bevorzugen.<\/p>\n

Anders ausgedr\u00fcckt, die \u00c4hnlichkeiten zwischen Shamoon und StoneDrill sind wahrscheinlich eher kein <\/strong>Zufall. Wurden Shamoon und StoneDrill von demselben\/denselben Autoren geschrieben? Ist StoneDrill ein spezifisches Tool der Betreiber von Shamoon? Oder handelt es sich um zwei verschiedene Bestien von komplett anderen Akteuren, die vielleicht dieselbe Malware-Schreibschule besucht haben? Wir wissen es nicht. Alles ist m\u00f6glich; w\u00e4hrenddessen forschen wir weiter und werden unsere Entdeckungen auf der bevorstehenden SAS Konferenz<\/a> vorstellen.<\/p>\n

Warten Sie! Das ist nicht alles!\u2026<\/p>\n

Als unsere GReAT Jungs den Code von StoneDrill untersuchten, erlebten sie ein echtes D\u00e9j\u00e0-vu: Sie hatten einige Codelinien vorher schon einmal gesehen! Wo? In einer anderen Cyber-Spionageoperation mit dem Namen Newsbeef \u2013 \u00fcber die wir letztes Jahr ein Post<\/a>\u00a0ver\u00f6ffentlicht haben. Es gibt also eine weitere Variabel in dieser Rechnung: Newsbeef. Ist StoneDrill ein Tool, das von den Betreibern von Newsbeef f\u00fcr Datenzerst\u00f6rungszwecke eingesetzt wird? Wieder handelt es sich um eine unbeantwortete Frage.<\/p>\n

<\/p>\n

Wenn wir Experten in Geopolitik oder Armsessel Philosophen w\u00e4ren, w\u00fcrden wir ein paar Ideen \u00fcber diese Verbindungen abgeben. So wie es Pu der B\u00e4r einmal sagte: \u201eDieses summende Ger\u00e4usch hat etwas zu bedeuten\u201c.<\/p>\n

Aber (gl\u00fccklicherweise!) sind wir keine Experten in Geopolitik oder Armsessel Philosophen. Wir haben die schwere Aufgabe, die Welt vor allen Cyberbedrohungen zu besch\u00fctzen, unabh\u00e4ngig von deren Herkunft oder Zweck. Der einzige Grund, weshalb ich die Verbindungen zwischen Shamoon, StoneDrill und Newsbeef hier erw\u00e4hne ist, dass wir sie gefunden haben. Das ist aus meiner Sicht ein gutes Beispiel f\u00fcr die Brauchbarkeit von professioneller Bedrohungsintelligenz f\u00fcr Ihr Unternehmen oder Ihre Regierungsbeh\u00f6rde, damit man besser versteht, warum es hier geht. Das hilft Dinge zu verstehen. Wenn man diese Dinge versteht, kann man sich besser gegen die Risiken widmen, die sie zur Folge haben.<\/p>\n

Um auf dem neuesten Stand zu sein, lesen sie die detaillierten Entdeckungen von unseren Experten bei Securelist nach und falls sie an zus\u00e4tzlicher professioneller Bedrohungsintelligenz interessiert sind, z\u00f6gern sie nicht, sich bei unserem APT Intelligence Reporting Service<\/a> anzumelden.<\/p>\n

Jetzt \u00fcbergebe ich das Mikro an die Autoren der StoneDrill Entdeckung: Hier<\/a> k\u00f6nnen Sie eine detaillierte technische Analyse finden.<\/p>\n

PS:<\/p>\n

Falls Sie Ihr Sicherheitsteam darauf vorbereiten m\u00f6chten, Malware so tiefgehend und professionell wie das GReAT Expertenteam analysieren zu k\u00f6nnen, schicken sie es zu unseren Schulungssitzungen. Die erste findet auf der SAS-2017 Konferenz<\/a>\u00a0Anfang April statt; dieses Jahr halten wir diese in St. Maarten ab, da wir vor langer Zeit gelernt haben,<\/a>\u00a0dass die Karibik der perfekte Ort f\u00fcr Hardcore-Cybersicherheitsdiskussionen und -Schulungen ist. Buchen Sie alles hier<\/a>\u00a0\u2013 und packen Sie die Koffer (einschlie\u00dflich Badekleidung)!<\/p>\n

@KASPERSKY DECKT EINE MASSIVE #CYBERKRIEG-OPERATION AUF, DIE MINDESTENS DREI WIPER-STIL-MALWARES BEINHALTET<\/p>Tweet<\/a><\/blockquote>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Wir haben eine m\u00e4chtige neue Shamoom-Wiper-Malware entdeckt, und diesmal wird es ernst.<\/p>\n","protected":false},"author":13,"featured_media":9881,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[1650,2437,2436,864],"class_list":{"0":"post-9873","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-malware","9":"tag-shamoom","10":"tag-stonedrill","11":"tag-wiper"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9873\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/8981\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/10177\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/9897\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/stonedrill-weve-found-new-powerful-shamoon-ish-wiper-malware-and-its-serious\/14828\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/wiper\/","name":"Wiper"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=9873"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9873\/revisions"}],"predecessor-version":[{"id":10567,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9873\/revisions\/10567"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/9881"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=9873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=9873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=9873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}