Análisis de malware

Malware Spotlight: ¿Qué son los limpiadores?

noviembre 19, por Greg Belding

Introducción

Imagínese llegar al trabajo y sentarse frente a su computadora en un día normal. Enciendes la computadora, tomas un sorbo de café y descubres que se ha borrado toda la información de tu sistema. Esto es posiblemente lo peor que le puede pasar a un profesional de seguridad de la información; Desafortunadamente, existe una amenaza de malware que podría causar exactamente este escenario de pesadilla.

Entran los limpiaparabrisas. El nombre proviene de una sola pieza de malware que apareció en, pero que se ha asociado con toda una clase de malware que tiene objetivos similares de destrucción de datos.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Este artículo detallará el tipo de malware de limpieza. Exploraremos qué son los limpiadores y cómo funcionan, ejemplos reales del malware y qué puede hacer usted para evitar que le suceda esta pesadilla.

Un poco sobre limpiaparabrisas

Un limpiador fue noticia importante en cuando provocó una destrucción masiva de datos. Sony Pictures se estaba preparando para estrenar la película “The Interview”, que retrataba tanto una entrevista con el líder norcoreano Kim Jong-un como su brutal muerte a manos del personaje de James Franco. En lo que parecía ser una respuesta a esta representación poco halagadora del líder norcoreano, Sony Pictures recibió un golpe de limpiaparabrisas. Los atacantes exigieron que Sony retirara “La Entrevista”.

En pocas palabras, la película no fue retirada y Sony sufrió una pérdida masiva y costosa de datos. Este ataque resultó en una Orden Ejecutiva del presidente Barack Obama y nuevas sanciones contra Corea del Norte.

Curiosamente, algunos destacados expertos en ciberseguridad han arrojado algunas dudas sobre si el gobierno de Corea del Norte fue realmente responsable, añadiendo más mística a este infame ataque.

¿Qué es un limpiaparabrisas?

El nombre “wiper” se refiere al malware que tiene como objetivo destruir datos, provocando pérdidas financieras o de reputación. El objetivo del malware no es robar dinero o información para venderla a los ciberdelincuentes, sino la destrucción misma.

¿Por qué la destrucción sería el objetivo? Si bien los atacantes tienen sus razones para sus acciones, las dos razones principales parecen ser enviar un mensaje (generalmente político) o intentar encubrir las huellas del atacante después de la filtración de datos.

Los limpiadores pueden funcionar de maneras ligeramente diferentes, pero esta familia de malware casi siempre tiene los mismos objetivos en mente. Estos tres objetivos son archivos (datos), copias de seguridad almacenadas en el sistema y la sección de inicio del sistema.

El objetivo que consume más tiempo es la destrucción de archivos, pero puede que no sea exactamente lo que cree. La mayoría de los limpiadores en realidad no sobrescriben las unidades de disco porque simplemente llevaría demasiado tiempo. Más bien, los limpiadores pueden escribir una cierta cantidad de datos, algo así como 100 kb, en ciertos intervalos de datos. Esto destruirá archivos aleatoriamente. El ataque normalmente concluye con un ataque a las herramientas de recuperación del sistema para prohibir la recuperación como posible solución rápida.

Ejemplos de limpiaparabrisas del mundo real

En realidad, el malware llamado Wiper no fue la primera aparición de este tipo de malware. Los investigadores de malware creen que la primera aparición de limpiadores se produjo en con Narilam, un malware dirigido a software empresarial y financiero utilizado principalmente en Irán. A continuación se muestran algunos ejemplos notables de limpiaparabrisas.

chamoon

Lanzado por el grupo de ataque Cutting Sword of Justice, este ejemplo de limpiador tuvo como objetivo a Saudi Aramco y otras compañías petroleras de Oriente Medio a mediados y finales de. Shamoon era un limpiador tosco pero eficaz que limpiaba y hacía que los sistemas de las víctimas no pudieran arrancar. Para aquellos interesados, aquí se puede encontrar un análisis informativo y detallado de este ataque .

Monitor de ritmo/Maya

Este tosco limpiador atacó objetivos en Irán en y aparentemente no está relacionado con ejemplos anteriores de malware limpiador. En lugar de escribir datos en intervalos de datos prescritos, Groovemonitor apuntó a archivos en determinadas fechas. Cuando se produjeron estas fechas codificadas, este limpiador eliminó todos los archivos del disco “d:” al disco “i:”.

Seúl oscuro

Como su nombre lo indica, este ejemplo de limpiaparabrisas se centró en objetivos en Corea del Sur. Se hizo famoso en atacando a empresas de medios y a varios bancos. Basándose en la naturaleza “ruidosa” de los objetivos, los investigadores de malware han llegado a la conclusión de que este ataque fue lanzado por hacktivistas o guionistas que buscaban sus proverbiales quince minutos de fama.

Narilam

Mencionamos este antes, pero definitivamente vale la pena verlo más de cerca. Se han utilizado variantes de Narilam desde. Narilam no termina su trabajo en poco tiempo como la mayoría de los limpiaparabrisas; en cambio, Narilam funciona lentamente y puede estar presente en un sistema durante años antes de ser detectado. Lo más difícil de afrontar es que la corrupción que produce no se nota fácilmente, lo que aumenta el tiempo antes de que se pueda remediar la infección.

Medidas de prevención de limpiaparabrisas.

Como se demostró durante ataques Wiper anteriores, las medidas puramente defensivas no evitarán un ataque Wiper. Por desalentador que pueda parecer, no se desanime: existen medidas que al menos aumentarán sus probabilidades de no ser atrapado por este malware. Algunas recomendaciones sólidas incluyen:

Haga copias de seguridad periódicas de todos los datos importantes, preferiblemente fuera del sitio
Fortalecer todos los sistemas de información en la mayor medida posible.
Los planes de recuperación, respuesta y continuidad del negocio deben probarse y reforzarse continuamente.
Segmentación de usuarios y redes.
Soluciones antimalware superpuestas

Conclusión

Los limpiaparabrisas son el tipo de material del que están hechas las pesadillas de seguridad de la información. Este tipo de malware puede eliminar de manera eficiente casi toda la información confidencial en las unidades y causar una gran cantidad de datos y pérdidas financieras. Pero si bien ni siquiera las medidas defensivas más estrictas garantizarán una seguridad perfecta contra los limpiadores, seguir planes de respuesta de ciberseguridad estrictos y bien fundamentados, esquemas de respaldo y recuperación y una implementación inteligente de soluciones antimalware pueden reducir en gran medida la posibilidad de que su organización sea víctima. al siguiente ataque del limpiaparabrisas.