Una nueva variante del malware Disttrack (W32.Disttrack.B) ha reaparecido este mes afectando a diferentes compañías del sector Oil & Gas, dentro de la ya conocida campaña Shamoon.

En este caso, Disttrack, actúa como un gusano/troyano/filerase. Es decir, el malware es capaz de infectar masivamente los equipos ubicados en una determinada red local, y una vez infectados, procede en primer lugar a “limpiar-borrar” (wiper) los archivos encontrados en dicho equipo, para a continuación reescribir su MBR (Master Boot Record).

El ataque más reciente ha tenido como objetivo una empresa italiana de perforación de petróleo y gas que operaba en Oriente Medio y ha afectado a alrededor de 300 servidores y 100 PCs.

Este tipo de ataque y comportamiento (infección, borrado de equipos y sustitución de archivos) es muy característico de la campaña Shamoon. Podemos recordar como entre 2012 y 2016, junto a las campañas Duqu y Flame, Shamoon realizó acciones de sabotaje, robo de información y espionaje industrial a empresas del sector Oil&Gas, como Saudi Aramco o Qatar’s RasGas. Se calcula que, en aquel momento, se sobrescribieron entre 30.000 y 50.000 workstations de estas empresas.

Disttrack, se compone de tres componentes:

  • Dropper: La muestra de malware enviada a VirusTotal incluye un dropper, que es el responsable de instalar el módulo de comunicaciones y el “wiper” en el sistema objetivo. Además, es el encargado de propagase horizontalmente por la red. Para ello, se loga remotamente a los equipos ubicados en dicha red y accede a ellos mediante usuarios y contraseñas, previamente robadas.
  • Wiper: es el componente (Trojan.Filerase) que realiza el borrado de archivos, sustituyéndolos por archivos JPEG que representa la bandera de EEUU incendiada.
  • Communications o Reporter: El módulo encargado de comunicar con el C2 y así poder recibir todos los ficheros borrados.

Cabe destacar que durante los primeros ataques de Shamoon, el Trojan.Filerase actuaba, y tras la realización de un análisis forense, era posible la recuperación de los archivos. La última versión de Disttrack hace imposible esta recuperación.

Los principales vectores de ataque utilizados han sido:

  • La utilización de USB, que no ha sido previamente escaneados.
  • El acceso no seguro vía RDP (Remote Desktop Protocol), es decir el acceso a través de RDP sin que se hayan configurado correctamente el protocolo de autenticación SMB.

¿Qué recomendamos desde la unidad de consultoría e ingeniería en Ciberseguridad Industrial de Logitek?

  • Incorporar soluciones de escaneo de dispositivos USB para entornos OT.
  • Fortificar los equipos de la red OT, llevando a cabo estrategias de defensa en profundidad.
  • Formar y concienciar a usuarios sobre el correcto uso de dispositivos de almacenamiento externo.
  • Incorporar soluciones de detección de intrusos y anomalías no invasiva específicas para entornos industriales.

Si quieres que te contemos más sobre las principales amenazas que pueden afectar a tu entorno industrial y/o infraestructura crítica y qué te proponemos para evitar o minimizar los efectos negativos que pueden causar (pérdidas económicas, alteración de procesos, daños a la imagen de marca, daños personales), contacta con nosotros.

Referencias: Enisa y Threat Vector