El panorama de la ciberseguridad está plagado de ataques de ransomware, y las noticias están llenas de historias sobre organizaciones que caen presa de bandas de ransomware a diario. Cuando esto ocurre, las empresas deben desembolsar millones de dólares en rescates para recuperar sus datos. Sin embargo, los ciberdelincuentes tienen un arma más devastadora en su arsenal que no suele tener tanta prensa como el ransomware: el malware wiper. Este terrible ataque va más allá del ransomware al borrar por completo los datos de la víctima a su paso, lo que convierte su recuperación en una pesadilla para las empresas. Pero hay medidas preventivas que las empresas y los MSP pueden tomar para mitigar su riesgo de desastre.

• Por qué el malware wiper es una amenaza existencial para las organizaciones:

Como su nombre indica, el objetivo principal del malware wiper es borrar el disco duro de la máquina víctima y destruir todos los datos de forma irreversible. El malware ataca la ubicación física donde se almacenan los datos y los elimina permanentemente de los sistemas que atraviesa. Una vez que este asesino de datos entra en el entorno de una organización, se propaga por toda la red rápidamente y elimina todo lo que encuentra a su paso, borrando por completo los datos y haciéndolos irrecuperables. Muchas bandas de ciberdelincuentes utilizan los wipers para ocultar sus huellas tras una intrusión, debilitando la capacidad de respuesta de su víctima.

El malware wiper aprovecha muchas de las Tácticas, Técnicas y Procedimientos (TTP) típicas que utiliza el ransomware común, pero sin posibilidad de recuperar los archivos. Piense en ellos como ataques de ransomware sin claves de descifrado. El malware Wiper adquirió notoriedad por primera vez en 2012, cuando las compañías petroleras Saudi Aramco de Arabia Saudí y RasGas de Qatar fueron atacadas utilizando la familia de wipers Shamoon.

Aunque los wipers son utilizados a veces por actores maliciosos de todos los sectores, este malware ha gustado especialmente a los actores de amenazas de estados-nación. Atacan las infraestructuras críticas de naciones rivales con malware wiper para asestar un golpe rápido y despiadado que puede causar una interrupción generalizada de las infraestructuras u operaciones del país víctima. La guerra entre Rusia y Ucrania dio lugar a una nueva ronda de ataques de malware wiper en 2022, ya que se utilizaron varias versiones de wipers para interrumpir la infraestructura crítica de los sistemas ucranianos. La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) y la Oficina Federal de Investigación (FBI) publicaron un aviso a las empresas y agencias gubernamentales aconsejando vigilancia contra las nuevas cepas de malware wiper que surgieron durante ese conflicto.

• ¿Cómo destruyen los datos los wipers?

La forma más directa de borrar los datos de un sistema es sobrescribir los datos en una ubicación física específica con otros datos. Este proceso es arduo para los ciberdelincuentes, ya que tienen que escribir varios gigabytes o terabytes de datos, lo que lleva mucho tiempo y puede exponerlos a ser detectados. Pero el malware wiper acelera drásticamente ese proceso destruyendo dos archivos concretos del sistema y borrando los datos en cuestión de minutos.

El primer archivo que se aniquila en un ataque de malware wiper es el Master Boot Record (MBR), que identifica la ubicación del sistema operativo durante el proceso de arranque. Si los ciberdelincuentes consiguen destruir el MBR, el proceso de arranque se bloquea, haciendo que los archivos sean inaccesibles a menos que se utilicen metodologías forenses, que a veces ni siquiera funcionan.

La siguiente en desaparecer es la tabla maestra de archivos (MFT), que existe en todos los sistemas de archivos NTFS y contiene la ubicación física de los archivos en la unidad, su tamaño lógico y físico y otros metadatos relacionados. Como muchos archivos grandes no pueden utilizar bloques consecutivos en el disco duro, se fragmentan para acomodar el almacenamiento de archivos grandes. La MFT resulta muy útil en este caso, ya que almacena la información de dónde se encuentra cada fragmento en la unidad. Si los ciberdelincuentes se hacen con tu MFT, aún podrás acceder a tus archivos pequeños utilizando herramientas forenses, pero acceder a archivos grandes es prácticamente imposible, ya que se pierde el vínculo entre fragmentos. Este es un paso crítico para que los datos sean irrecuperables.

• Cronología del malware wiper:

Ha habido muchas cepas de malware wiper en acción desde 2012, incluyendo estas variedades:

1. Shamoon: Primer wiper reportado que atacó a las compañías petroleras Saudi Aramco y RasGas de Qatar en 2012.
2. Dark Seoul: Reportado en 2013, este malware atacó a medios de comunicación y empresas financieras surcoreanas.
3. Shamoon: El mismo wiper volvió en 2016 para atacar de nuevo a organizaciones de Arabia Saudí.
4. NotPetya, 2017: Uno de los wiper más devastadores debido a su capacidad de autopropagación, Notpetya fue lanzado por bandas de ciberdelincuentes de respaldo ruso que tenían como objetivo organizaciones ucranianas.

• Algunas medidas preventivas contra el malware wiper:

Un ataque wiper es difícil de detectar y contener. A diferencia de los ataques de malware comunes, que presentan signos distintivos de su presencia, los wipers borran todo rastro de su existencia una vez que han borrado los datos. Esto dificulta a los equipos de ciberseguridad responder a estos ataques y evitar que se propaguen. Por lo tanto, todas las organizaciones deben implantar medidas de seguridad sólidas y multicapa para defenderse del malware wiper.

• Estas son algunas de las soluciones y medidas preventivas que pueden ayudar:

1. SOC gestionado: Un equipo de expertos con las últimas armas, como una herramienta de detección de ransomware en guardia 24/7/365, es un activo tremendo contra ciberamenazas como el wiper malware. Sin embargo, crear un centro de operaciones de seguridad y dotarlo de personal es caro. Un SOC gestionado pone todas las ventajas al servicio de una empresa sin los onerosos costes de establecimiento y nómina, poniendo ese tipo de potente protección al alcance de cualquier MSP o empresa.
2. Solución de protección contra malware: los ciberdelincuentes utilizan muchos tipos de malware y técnicas diferentes para eludir las defensas de una organización. Las soluciones de protección contra malware realizan un seguimiento del malware y los procedimientos de ataque y se actualizan para frustrar los intentos de los actores de amenazas.
3. Formación en materia de seguridad: Los usuarios finales informados son el mayor y mejor baluarte contra la mayoría de las ciberamenazas. Con una formación regular de concienciación sobre la seguridad, la mayoría de los empleados pueden identificar archivos adjuntos extraños, intentos de phishing y otras anomalías, evitando que muchos ciberataques peligrosos, como el ransomware y el malware, traspasen las defensas de una organización.
4. Plan de recuperación ante desastres: Un buen plan de recuperación ante desastres reduce el impacto de un ataque y ayuda a las organizaciones a recuperarse más rápidamente. Con copias de seguridad periódicas, el tiempo de recuperación y la pérdida de datos se reducen al mínimo.
5. Actualizaciones regulares de software: El software sin parches es una de las vulnerabilidades de seguridad más importantes. Los parches de software proporcionan la protección necesaria contra todas las vulnerabilidades más recientes y desempeñan un papel clave a la hora de impedir que los atacantes aprovechen estas aplicaciones para acceder al sistema.

Fuente: ID Agent