Malware nunca antes visto destruye datos en tribunales y alcaldías rusas

Según la empresa de seguridad Kaspersky y el servicio de noticias Izvestia, las alcaldías y los tribunales de Rusia están siendo atacados por un malware sin precedentes que se hace pasar por ransomware pero que en realidad es un limpiador que destruye permanentemente los datos de un sistema infectado.

Los investigadores de Kaspersky han denominado al limpiador CryWiper, un guiño a la extensión .cry que se agrega a los archivos destruidos. Kaspersky dice que su equipo vio cómo el malware lanzaba «ataques precisos» contra objetivos en Rusia. Izvestia, por su parte, informó que los objetivos eran las oficinas y tribunales de los alcaldes rusos. No se conocieron de inmediato más detalles, incluida la cantidad de organizaciones afectadas y si el malware borró los datos con éxito.

El malware Wiper se ha vuelto cada vez más común en la última década. En 2012, un limpiaparabrisas conocido como Shamoon causó estragos en Saudi Aramco de Arabia Saudita y RasGas de Qatar. Cuatro años más tarde, una nueva variante de Shamoon regresó y golpeó a varias organizaciones en Arabia Saudita. En 2017, el malware autorreplicante llamado NotPetya se propagó por todo el mundo en cuestión de horas y causó daños estimados en 10.000 millones de dólares. El año pasado, apareció una serie de nuevos limpiaparabrisas. Estos incluyen DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 y RuRansom.

Kaspersky dijo que detectó los intentos de ataque de CryWiper en los últimos meses. Después de infectar a un objetivo, el malware dejó una nota que, según Izvestia, solicitaba 0,5 bitcoins e incluía una dirección de billetera donde se podía realizar el pago.

crywiper requirements

kaspersky

«Después de examinar una muestra de malware, descubrimos que aunque este troyano se hace pasar por ransomware y extorsiona a la víctima para ‘descifrar’ los datos, en realidad no cifra, sino que destruye deliberadamente los datos en el sistema afectado», informa Kaspersky. «Además, un análisis del código del troyano reveló que no se trataba de un error del desarrollador, sino de su intención original».

CryWiper tiene cierta semejanza con IsaacWiper, que apuntaba a organizaciones en Ucrania. Ambos limpiadores utilizan el mismo algoritmo para generar números pseudoaleatorios que corrompen los archivos de destino al sobrescribir los datos que contienen. El nombre del algoritmo es Mersenne Vortex PRNG. El algoritmo rara vez se usa, por lo que se destacó la similitud.

algorithm

kaspersky

CryWiper comparte una afinidad separada con las familias de ransomware conocidas como Trojan-Ransom.Win32.Xorist y Trojan-Ransom.MSIL.Agent. En particular, la dirección de correo electrónico en la nota de rescate de los tres es la misma.

La muestra de CryWiper analizada por Kaspersky es un ejecutable de 64 bits para Windows. Fue escrito en C++ y compilado con el kit de herramientas MinGW w64 y el compilador GCC. Esta es una elección inusual, ya que el malware escrito en C++ suele usar Visual Studio de Microsoft. Una posible razón para esta elección es que brinda a los desarrolladores la posibilidad de trasladar su código a Linux. Dada la cantidad de llamadas específicas que hace CryWiper a las API de Windows, esta razón parece poco probable. La razón más probable es que el desarrollador que escribió el código estaba usando un dispositivo que no es de Windows.

Los ataques de limpiaparabrisas exitosos a menudo aprovechan la mala seguridad de la red. Kaspersky aconsejó a los ingenieros de redes que tomen precauciones usando:

  • Soluciones de seguridad de análisis de archivos basadas en el comportamiento para la protección de puntos finales.
  • Centros de operaciones de seguridad y detección y respuesta administrados que permiten la detección oportuna de un intruso y tomar contramedidas.
  • Análisis dinámico de archivos adjuntos de correo electrónico y bloqueo de archivos maliciosos y URL. Esto dificulta los ataques por correo electrónico, uno de los vectores más comunes.
  • Realización periódica de pruebas de penetración y proyectos RedTeam. Esto ayudará a identificar vulnerabilidades en la infraestructura de la empresa, protegerlas y, por lo tanto, reducir significativamente la superficie de ataque de los intrusos.
  • Monitoreo de inteligencia de amenazas. La detección y el bloqueo oportunos de actividades maliciosas requieren información actualizada sobre las tácticas, las herramientas y la infraestructura de los intrusos.

Con la invasión rusa de Ucrania y otros conflictos geopolíticos en todo el mundo, es poco probable que el ritmo del malware Wiper disminuya en los próximos meses.

«En muchos casos, los incidentes de limpiaparabrisas y ransomware son causados ​​por una seguridad de red inadecuada, y es el fortalecimiento de la protección lo que merece atención», dijo el informe de Kaspersky del viernes. «Suponemos que la cantidad de ataques cibernéticos, incluidos los que usan limpiaparabrisas, aumentará, principalmente debido a la situación mundial inestable».

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí