Esta es una traducción de un artículo de Kaspersky Labs sobre un tipo de malware llamado wiper (limpiadores) el cual es devastador en las computadoras que infecta. Este fue publicado a finales del año 2013, y se publica aquí porque en realidad no se conoce mucho de este tipo de malware, ya que más adelante veremos porque centramos la atención en este tipo de malware.

Cada día, Kaspersky Lab procesa más de 300.000 nuevas muestras de malware. La gran mayoría de estos archivos maliciosos es lo que llaman crimeware – programas informáticos diseñados para obtener ganancias financieras y utilizados por los ciberdelincuentes para ganar dinero. Del porcentaje restante, una pequeña cantidad está diseñada exclusivamente para el ciberespionaje y utilizada por una variedad de actores de amenaza avanzada.

Lo que queda es un porcentaje aún menor del total e incluye cosas raras e inusuales. Los wipers , son programas altamente destructivos, además algunos son los tipos más raros de malware, sin embargo, su uso ha aumentado en los últimos años.

De vuelta a los viejos tiempos, la mayor parte del malware fue escrito por entusiastas de la computadora, gamberros (cyber-hooligans) y bromistas. Por lo tanto, los virus destructivos, o troyanos, eran mucho más comunes. Algunos ejemplos incluyen BadSectors, un virus informático que marcaría los sectores del disco como malos, incluso si no lo fueran, dando como resultado corrupción sutil de datos. Otro ejemplo fue OneHalf, un virus informático que cifraría el disco duro cilindro por cilindro, descifrándolo de forma transparente al vuelo mientras estaba activo. Si uno fuera a eliminar el virus, que dejaría los datos en el disco en formato cifrado, sin una manera fácil de descifrarlo.

Quizás el ejemplo más conocido es CIH, también conocido como Chernobyl. CIH, nombrado después de las iniciales de su autor, Chen Ing-hau, era un virus informático que tenía la capacidad de limpiar la memoria flash del BIOS. Las computadoras afectadas por CIH no podían arrancar más. Esto no era un problema importante para las PC, que tenían la memoria del BIOS en forma de un chip removible que podía ser reprogramado en otro sistema; Sin embargo, para los propietarios de computadoras portátiles, el virus CIH fue bastante destructivo.

En los últimos años, se han visto un gran número de incidentes de malware destructivo y en Kaspersky Labs decidieron hacer un breve resumen de los incidentes más importantes de los malware tipo Wiper:

1. El “Wiper”

A finales de 2011, a principios de 2012, surgieron informes sobre sistemas informáticos que se vieron comprometidos y no se pudieron iniciar. El alcance de los daños a estos sistemas era tan grande que casi ningún dato era recuperable. Algunos artefactos de los sistemas de limpieza indicaron un posible vínculo con Stuxnet y Duqu; Sin embargo, estos nunca fueron probados. El malware responsable de estos ataques fue llamado “Wiper”; Escribieron sobre esto aquí.

El Wiper parecía utilizar dos métodos para atacar sistemas. Los archivos con ciertas extensiones “calientes” se llenaron con basura, entonces el disco duro del ordenador entero se llenaría de basura. Aunque se desconoce cómo esto fue posible sin estrellar los sistemas operativos, algunas soluciones que se podrían haber utilizado incluyen los controladores de dispositivos cargados en el arranque, o simplemente un bootkit malicioso.
La investigación de kaspersky Labs sobre Wiper condujo al descubrimiento de la llama; Que ahora creen que era un malware no relacionado. A su conocimiento, incluso hoy en día, el Wiper sigue siendo un misterio.

2. Shamoon el Wiper

En agosto de 2012, un gran número de computadoras (que se cree que son más de 30.000) en la compañía saudí Aramco fueron limpiadas y se hicieron inutilizables. Escribieron sobre este incidente aquí.

En este caso, el malware responsable de los ataques fue identificado y recuperado. Shamoon usó un método de limpieza simple y crudo que demostró ser bastante efectivo. Aunque la responsabilidad por el ataque de Shamoon fue reclamada por los hackers de un grupo llamado “Cutting Sword of Justice”, los detalles permanecen oscuros.

Después del ataque de la compañía Saudi Aramco, otro ataque similar fue descubierto, en la compañía Rasgas en Qatar.

Algunos medios de comunicación indicaron que a pesar de los créditos, tal vez los hackers iraníes estaban detrás de este ataque. Un artefacto olvidado en el malware “Shamoon for Arabian Gulf” parece indicar lo contrario; Como los programadores iraníes probablemente habrían llamado este “Golfo Pérsico”. (Ver Wikipedia)

3. Narilam

Narilam fue informado por Symantec en Noviembre del 2012. Lo describieron aquí.

Narilam es una pieza interesante de malware; Afecta a bases de datos para algunos programas informáticos muy específicos, que se utiliza principalmente en Irán. Las corrupciones que produce son sutiles y pueden ser difíciles de notar. Si a Narilam se le permite correr durante años en un sistema informático, los efectos pueden ser bastante devastadores, ya que las modificaciones no se pueden identificar fácilmente. A diferencia del Wiper, Narilam es un malware de acción lenta, diseñado para sabotaje a largo plazo. Hemos identificado muchas versiones diferentes de Narilam, algunas de ellas activas desde 2008.

4. Groovemonitor / Maya

Han descrito los ataques de Groovemonitor / Maya aquí.

Este malware fue reportado por primera vez por el iraní Maher CERT, en 2012. Relativamente simplista, el malware era bastante crudo en sus acciones. Groovemonitor se activa en ciertas fechas, que están codificadas en su cuerpo, desde el 10 de diciembre de 2012 hasta el 4 de febrero de 2015. En esas fechas, simplemente elimina todos los archivos de los discos “d:” a “i:”

5. Dark Seoul:

Cubrieron los ataques de Dark Seoul aquí.

El Dark Seoul, como su nombre indica, fue utilizado en un ataque coordinado contra varios bancos y compañías de medios en Seúl, Corea del Sur. Los ataques fueron reportados en mayo de 2013, aunque el grupo detrás de los ataques parece haber estado activo por mucho más tiempo, tal vez desde el 2009.

Conclusiones

Como se puede ver en la lista anterior, la mayoría de los ataques estilo Wiper durante los últimos años han sido en el Medio Oriente. Sin embargo, como se observa de estos incidentes, este tipo de malware puede ser un tipo altamente eficaz de ciber-arma. El poder de limpiar decenas de miles de computadoras al pulsar un botón o un clic de ratón representa un poderoso activo para cualquier ciber-ejército. Esto puede ser un golpe aún más devastador cuando se combina con un ataque cinético del mundo real para paralizar la infraestructura de un país.

En resumen, los ataques estilo Wiper son raros hoy en día, ya que el foco principal del malware es el beneficio financiero. El peligro viene de acoplar los ataques estilo Wiper con el hecho de que más y más debilidades de la infraestructura crítica se descubren todos los días.

Desde Kaspersky Labs estiman que los ataques de Wipers continuarán y pueden llegar a ser incluso más populares en un futuro próximo, como medios de atacar la infraestructura crítica en épocas exactas, para causar daño extenso.

Fuente: securelist

Anuncios