Limpiador (malware)

Malware diseñado para borrar archivos en el ordenador host

En seguridad informática , un wiper es una clase de malware destinado a borrar (de ahí el nombre) el disco duro u otra memoria estática del ordenador que infecta, borrando maliciosamente datos y programas.

Ejemplos

Un programa malicioso denominado "Wiper" fue supuestamente utilizado en ataques contra compañías petroleras iraníes . En 2012, la Unión Internacional de Telecomunicaciones proporcionó a Kaspersky Lab discos duros supuestamente dañados por Wiper para su análisis. Si bien no se pudo encontrar una muestra del supuesto programa malicioso, Kaspersky descubrió rastros de un programa malicioso independiente conocido como Flame . ^{[1] [2] [3]}

El malware Shamoon contenía un mecanismo de borrado de disco; se empleó en ataques de malware de 2012 y 2016 dirigidos a empresas energéticas saudíes y utilizó un controlador de acceso directo a la unidad comercial conocido como Rawdisk . La variante original sobrescribía archivos con partes de una imagen de una bandera estadounidense en llamas . La variante de 2016 era casi idéntica, excepto que utilizaba una imagen del cuerpo de Alan Kurdi en su lugar. ^{[4] [5]}

Un componente de borrado se utilizó como parte del malware empleado por el Grupo Lazarus (un grupo de delitos cibernéticos con presuntos vínculos con Corea del Norte ) durante el ciberataque a Corea del Sur de 2013 y el hackeo a Sony Pictures de 2014. ^{[6] [7] [8]} El hackeo a Sony también utilizó RawDisk. [ ^4]

En 2017, las computadoras de varios países, especialmente Ucrania , fueron infectadas por NotPetya , que es una variante del ransomware Petya que era un limpiador en sentido funcional. El malware infecta el registro de arranque maestro con una carga útil que encripta la tabla de archivos interna del sistema de archivos NTFS . Aunque todavía exigía un rescate, se descubrió que el código había sido modificado significativamente para que la carga útil no pudiera revertir sus cambios, incluso si el rescate se pagara con éxito. ^{[9] [10]}

Durante los ciberataques de 2022 a los sistemas informáticos asociados con Ucrania se descubrieron varias variantes de malware limpiador . Los investigadores los llamaron CaddyWiper , HermeticWiper , IsaacWiper y FoxBlade , pero mostraron poca relación entre sí, lo que provocó especulaciones de que fueron creados por diferentes actores patrocinados por el estado en Rusia especialmente para esta ocasión. ^[11]

Solución

La redundancia reactiva es una posible solución para la protección contra la destrucción de datos. Los investigadores pueden crear sistemas capaces de analizar los buffers de escritura antes de que lleguen a un medio de almacenamiento, determinar si la escritura es destructiva y preservar los datos que se están destruyendo. ^[12]

Referencias

1. "Malware destructivo: cinco limpiadores en el punto de mira". Securelist . Consultado el 3 de julio de 2017 .
2. Zetter, Kim. "El malware de limpieza que afectó a Irán dejó posibles pistas sobre su origen". Wired.com . Consultado el 3 de julio de 2017 .
3. Erdbrink, Thomas (23 de abril de 2012). «Frente a un ciberataque, funcionarios iraníes desconectan de Internet algunas terminales petroleras». The New York Times . Archivado desde el original el 31 de mayo de 2012. Consultado el 29 de mayo de 2012 .
4. "El malware del limpiador Shamoon regresa con venganza". Ars Technica . Consultado el 3 de julio de 2017 .
5. Perlroth, Nicole (24 de agosto de 2012). "Entre las migajas digitales del ciberataque a Saudi Aramco, imagen de una bandera estadounidense en llamas". Bits . The New York Times . Consultado el 3 de julio de 2017 .
6. "Dentro del malware "wiper" que puso de rodillas a Sony Pictures [Actualización]". Ars Technica . Consultado el 3 de julio de 2017 .
7. Palilery, Jose (24 de diciembre de 2014). "Qué causó el hackeo de Sony: lo que sabemos ahora". CNNMoney . Consultado el 4 de enero de 2015 .
8. Zetter, Kim. "Los hackers de Sony causaron estragos años antes de atacar a la empresa". Wired . Consultado el 3 de julio de 2017 .
9. "El brote masivo de ransomware del martes fue, de hecho, algo mucho peor". Ars Technica . 28 de junio de 2017 . Consultado el 28 de junio de 2017 .
10. "El ciberataque tenía que ver con datos y no con dinero, dicen los expertos". BBC News . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
11. "Sicherheitsforscher finden neue Zerstörungs-Malware auf ukrainischen Computersystemen". estándar.en . Consultado el 15 de marzo de 2022 .
12. Gutierrez, Christopher N.; Spafford, Eugene H.; Bagchi, Saurabh; Yurek, Thomas (1 de mayo de 2018). "Redundancia reactiva para la protección contra la destrucción de datos (R2D2)". Computers & Security . 74 : 184–201. doi : 10.1016/j.cose.2017.12.012 . ISSN  0167-4048.