Guía gratuita
16 preguntas que DEBE hacer antes de contratar cualquier empresa de TI
El panorama de la ciberseguridad está plagado de ataques de ransomware, y las noticias están llenas de historias sobre organizaciones que caen presa de bandas de ransomware a diario. Cuando esto ocurre, las empresas deben desembolsar millones de dólares en rescates para recuperar sus datos. Sin embargo, los ciberdelincuentes tienen un arma más devastadora en su arsenal que no suele tener tanta prensa como el ransomware: el malware wiper. Este terrible ataque va más allá del ransomware al borrar por completo los datos de la víctima a su paso, lo que convierte su recuperación en una pesadilla para las empresas. Pero hay medidas preventivas que las empresas y los MSP pueden tomar para mitigar su riesgo de desastre.
Como su nombre indica, el objetivo principal del malware wiper es borrar el disco duro de la máquina víctima y destruir todos los datos de forma irreversible. El malware ataca la ubicación física donde se almacenan los datos y los elimina permanentemente de los sistemas que atraviesa. Una vez que este asesino de datos entra en el entorno de una organización, se propaga por toda la red rápidamente y elimina todo lo que encuentra a su paso, borrando por completo los datos y haciéndolos irrecuperables. Muchas bandas de ciberdelincuentes utilizan los wipers para ocultar sus huellas tras una intrusión, debilitando la capacidad de respuesta de su víctima.
El malware wiper aprovecha muchas de las Tácticas, Técnicas y Procedimientos (TTP) típicas que utiliza el ransomware común, pero sin posibilidad de recuperar los archivos. Piense en ellos como ataques de ransomware sin claves de descifrado. El malware Wiper adquirió notoriedad por primera vez en 2012, cuando las compañías petroleras Saudi Aramco de Arabia Saudí y RasGas de Qatar fueron atacadas utilizando la familia de wipers Shamoon.
Aunque los wipers son utilizados a veces por actores maliciosos de todos los sectores, este malware ha gustado especialmente a los actores de amenazas de estados-nación. Atacan las infraestructuras críticas de naciones rivales con malware wiper para asestar un golpe rápido y despiadado que puede causar una interrupción generalizada de las infraestructuras u operaciones del país víctima. La guerra entre Rusia y Ucrania dio lugar a una nueva ronda de ataques de malware wiper en 2022, ya que se utilizaron varias versiones de wipers para interrumpir la infraestructura crítica de los sistemas ucranianos. La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) y la Oficina Federal de Investigación (FBI) publicaron un aviso a las empresas y agencias gubernamentales aconsejando vigilancia contra las nuevas cepas de malware wiper que surgieron durante ese conflicto.
La forma más directa de borrar los datos de un sistema es sobrescribir los datos en una ubicación física específica con otros datos. Este proceso es arduo para los ciberdelincuentes, ya que tienen que escribir varios gigabytes o terabytes de datos, lo que lleva mucho tiempo y puede exponerlos a ser detectados. Pero el malware wiper acelera drásticamente ese proceso destruyendo dos archivos concretos del sistema y borrando los datos en cuestión de minutos.
El primer archivo que se aniquila en un ataque de malware wiper es el Master Boot Record (MBR), que identifica la ubicación del sistema operativo durante el proceso de arranque. Si los ciberdelincuentes consiguen destruir el MBR, el proceso de arranque se bloquea, haciendo que los archivos sean inaccesibles a menos que se utilicen metodologías forenses, que a veces ni siquiera funcionan.
La siguiente en desaparecer es la tabla maestra de archivos (MFT), que existe en todos los sistemas de archivos NTFS y contiene la ubicación física de los archivos en la unidad, su tamaño lógico y físico y otros metadatos relacionados. Como muchos archivos grandes no pueden utilizar bloques consecutivos en el disco duro, se fragmentan para acomodar el almacenamiento de archivos grandes. La MFT resulta muy útil en este caso, ya que almacena la información de dónde se encuentra cada fragmento en la unidad. Si los ciberdelincuentes se hacen con tu MFT, aún podrás acceder a tus archivos pequeños utilizando herramientas forenses, pero acceder a archivos grandes es prácticamente imposible, ya que se pierde el vínculo entre fragmentos. Este es un paso crítico para que los datos sean irrecuperables.
Ha habido muchas cepas de malware wiper en acción desde 2012, incluyendo estas variedades:
Un ataque wiper es difícil de detectar y contener. A diferencia de los ataques de malware comunes, que presentan signos distintivos de su presencia, los wipers borran todo rastro de su existencia una vez que han borrado los datos. Esto dificulta a los equipos de ciberseguridad responder a estos ataques y evitar que se propaguen. Por lo tanto, todas las organizaciones deben implantar medidas de seguridad sólidas y multicapa para defenderse del malware wiper.
Fuente: ID Agent